Computer Panoráma 
Om TIJDLI i a r XIV. évfolyam 6. különszárn, 2003. május 


ANORÁNA Ára: 695 Ft 


ADATBIZTONSÁG 
lrtartsáoóáázbalzát jalábssáás KÜLÖNSZÁM 


. GD-melléklettel 


Fertőzők osztálya 
Vírusok, férgek, trójaiak ú 4 


" 4AcD tartalmából" 
Windows, ami biztos főt E ÉRŐ 

Windows Server 2003 § Marton. AmtvINus 2003 

a s. § ashamnoo Mall Virus BIOcker 
Tilkosúgynok a PG-n (zsir 

Megatrend 1888 ál 


Szabványos biztonság 
IT biztonsági audit 

Digitális pecsét 
Elektronikus aláírás 


szoftverek résen 
Tűztalak 


megbízható mobilok 
Nyilvános kulcsú titkosítás 


Romboló impulzusok 
szünetmentes áramforrások 


Jól tartott szerverek 
Szervertarmok 


! 


inek 


[4 


igénye 


u 


da. 


Vírusok - Fertőzők osztálya 
IT audit — Auditorium Maximum .. . . 
Slammer és társai - Nyakunkon az ellenség 


ISee - Titkosügynök 
Sun Microsystems - Hálózati azonosítás — 
biztosan és gyorsan 
Elektronikus aláírás - Tinta, pecsét, aláírás 


SZOFTVER 


Novell eDirectory £ SecureLogin — 

Biztonságos személyazonosság-kezelés 
Internet- és Client Security - Dobozba zárt biztonság . 
Control-SA - Bővített felügyelet . . 
Network Associates - Harcban a vírusokkal . 
Tűzfalak - Mindig résen 


Windows Server 2003 - Windows, ami biztos . . . . . . . . . . . 30 
ICON Rt. - Biztonságos hálózatok - távfelügyelettel . . . . . . 36 
Kürt Computer Rt. - Adatok vészhelyzetben . . . . . . . . . . . . 38 
Szerverfarmok - Jól tartott szerverek ................. 40 
Szünetmentes áramforrások - Romboló impulzusok . . . . . 42 
Nyilvános kulcsú titkosítás - Megbízható mobilok . . . . . . .. 44 


az 


Adatbiztonság a Mol-Gáznál - Nehogy gáz legyen... .. . . . 


KE TEcHHoLÓGIA 


RNI Vr 


Windows Server 2003 


Windows Server 2003 30 
A Microsoft április 24-én, San Francis- 
cóban jelentette be legújabb operáci- 
ós rendszerét, a Windows Server 
2003-at. A termék a műszaki újítások 
százainak köszönhetően adatközpont- 
szintű megbízhatóságot kínál a fel- 
használóknak. Írásunkban a Windows 
Server új biztonsági szolgáltatásait te- 
kintjük át. 


Elektronikus aláírás 16 
Évek óta várjuk, hogy elérkezik a papír 
nélküli irodák kora, de az irodai papír- 
fogyasztás nemhogy csökkent volna, 
inkább nőtt az irodai számítástechnika 
terjedésével. Ha előbb-utóbb még- 
sem kell majd minden hivatalos ügyet 
személyesen intéznünk, az csakis az 
elektronikus aláírási rendszernek lesz 
majd köszönhető. 


Szünetmentes áramforrások 42 
A vírusok, hackerek és más internetes 
fenyegetések elleni védekezésben so- 
kan hajlamosak megfeledkezni a sok- 
kal hétköznapibb veszélyekről. Ilyen 
például az áramkimaradás, vagy — ami 
még rosszabb - a villámcsapás. A táp- 
ellátásban bekövetkező zavarok ellen a 
szünetmentes energiaforrások jelentik 
a megoldást. 
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A KEVA A 
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A számítógépes vírusok 


fert 


újabb és újabb, egyre 
globálisabb fertőzési hullá- 
mokkal hívják fel magukra a 
figyelmet. A maga korában 
elhíresült LoveLetter vagy a 
máig felbukkanó Code Red 
lassan már csak gyenge 
próbálkozásoknak tűnnek 


napjaink egyre összetettebb 
kártevőihez képest. 

áig igaz, hogy a legveszélyezte- 
M tettebb platformok a Microsoft 
gyártotta rendszerekkel felszerelt 
gépek, közülük is azok, amelyekre elfelejtik 
naprakészen feltenni a javításokat, így véd- 
telenül állnak a támadások kereszttüzében. 
Ahogy az is igaz, hogy a számítógépes víru- 
sok jelenléte korántsem új fejlemény. 

A mai vírusok ősei már a Commodore és 
ZX gépek térhódításával megjelentek. Első 
virágkoruk azonban a DOS-korszakra te- 
hető, és a vírusoknak máig leggyakrabban 
otthont adó Intel PC-k gyors elterjedésével 
jött el. A gépindításra használt flopik boot- 
szektorának fertőzésével a vírusok terjesz- 
tése lényegében a felhasználó aktív közre- 
működésével valósult meg. 

A boot-vírusok mellett azután sorra 
megjelentek a fájlokat fertőző, illetve ma- 
gukat álcázó másfajta vírusok is. A gépen 
tárolt állományokba beépülő, méretnöve- 
kedést okozó, szemetet termelő vírusok 
felbukkanása azonban csak a nagyobb 
merevlemezekkel, virágkoruk pedig az 
egyedileg is igen sok állományból álló 
programrendszerekkel jött el, amelyek fájl- 
rendszere amúgy is nehezen áttekinthető. 

A nagyobb merevlemezek eljövetelével 
a partíciók ,buherálása" is gyakorlattá vált, 
aminek egyik leghírhedtebb, de minden- 
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A féregszerű terjedés és a DoS kialakulása 
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képpen egyik legnagyobb kárt okozó pél- 
dája a OneHalf nevű vírus volt. Az ősví- 
rus-csoportok egyikeként megjelent Trójai 
faló jellegű kártevőkről annyit érdemes 
még megjegyezni, hogy a magukat vala- 
milyen hasznos funkciónévvel álcázó állo- 
mányként elbúvó kártevők máig megvan- 
nak, de manapság már nem őket, hanem a 
,Művészbejárót" létrehozó kártevőket ille- 
tik ezzel a meghatározással. 


Veszélyes internet 


Ahogyan a DOS, mint operációs rend- 
szer visszaszorult, úgy csökkent a DOS- 
specifikus vírusok jelentősége. Ugyanak- 
kor más eszközök bukkantak fel, a terjesz- 
tésre és a víruskészítésre egyaránt. Erre jó 
példát mutathatnak a Word makróvírusai, 
mivel a Microsoft Wordbe épített Basic 
nyelv új programozási felületet kínált, és a 
dokumentumok cseréje is új terjedési mó- 
dot szolgáltatott. Nem véletlen, hogy volt 
idő, amikor a legnagyobb veszélyt ezek a 
vírusok jelentették. 

Az újabb minőségi ugrást a világ inter- 
netesedése jelentette, amely új lehetősége- 
ket teremtett a kártevők 


belül teljes fertőzöttséget volt képes elő- 
idézni. 

Ehhez azonban már több kell, mint egy 
fájlhoz hozzáragasztani a víruskódot. Az 
internetes kártevőnek a hálózatkezeléshez 
is konyítania kell, tehát az adott gép kom- 
munikációs rendszerébe kell integrálód- 
nia. Az internetes kártevők összetettsége 
egyre növekszik, és sokszor elmosódik a 
határ a ,csak" közvetlen kárt okozó és 
gyorsan szaporodó vírusok, az idegen be- 
hatolást könnyítő trójaiak, valamint a kom- 
munikációs rendszert kihasználó, a kom- 
munikáció parazitálásával ható férgek kö- 
zött. Olyannyira, hogy egy jobb vírusirtó 
alkalmazás ma már nem is tesz különbsé- 
get ezek között, és kivétel nélkül mindeni- 
ket eltávolítja. Az azonban továbbra is 
igaz, hogy a gyors terjedési lehetőség elle- 
nére a ,gyors halált" okozó vírus továbbra 
sem sikeres. Ennek egyszerűen az az oka, 
hogy amennyiben egy vírus a szaporodása 
előtt okoz könnyen észrevehető kárt, illet- 
ve rendszerösszeomlást, akkor már nem is 
lesz esélye szaporodni. 

Az internet szerepe ebben a folyamat- 
ban az, hogy a gyors terjedési lehetőség 
felkínálásával a ,lappangási idő" nagyon 
lerövidül. Ehhez elég áttekinteni azokat a 
statisztikákat, amelyek például a már emlí- 
tett — és a fertőzések java részét egyfajta 
fertőző memóriatartalomként közvetítő — 
Code Red, a nem sokkal utána felbukkant 
Nimda, vagy a közelebbi múlt Slammer 
járványát írják le. A világhálón órák alatt 
szétterjedő járvány gyorsan okozhat igen 
nagy károkat, amelyeket már dollármilli- 
ókban-milliárdokban lehet csak mérni. Ta- 
lán az sem véletlen, hogy ezek többsége 


Femezt 


számára mind a terjedés- 
re, mind a kártételre. Az 
egymással szinte folyama- . 
tos kapcsolatot tartó szá- 
míitógépek alkotta rend- 
szeren az egyes vírusok 
terjedése igen gyors lehet. 
Erre jó példa a lassan már 
szintén emlékké fakuló 


tet 


SirCam, amely egy kisebb 
hálózaton az első fertő- 
zést követően perceken 


A program-sérülékenységek és súlyosságuk alakulása a 
Symantec felmérése alapján (Symantec Internet Security 
Threat Report - Attack Trends for 03 and 04 2002) 


Adatbiztonság 


valamely programhibát — sérülékenységet 
— használ ki, és tulajdonképpen a féregsze- 
rű viselkedésük dominál. 

A sérülékenységek szerepét azért is említ- 
jük, mert az internetes támadásoknak általá- 
ban sokszor célpontjai a programok ilyen 
fogyatékosságai. Márpedig — mint azt a 
Symantec egyik tanulmánya (Symantec 
Internet Security Threat Report — Attack 
Trends for 03 and 04 2002) -— kimutatta, 
ezeknek a problémáknak a száma és súlyos- 
sága növekvő tendenciát mutat az utóbbi 
időkben. A gyors nagytömegű fertőzés pe- 
dig az internetes kiszolgálókon előidézett 
szolgáltatás-megtagadáson (Denial of Servi- 
ce, Dos5) keresztül okoz jelentős kárt. 

Bár az említett trió tagjai a Windows- 
rendszert károsítják, a vírusokról azt is ér- 
demes tudni, hogy elvileg szinte bármely 
operációs rendszerre írható vírus. Ilyen 
például a Linuxra írt Slapper, amely az 
OpenSSL egyik 2002. szeptemberében fel- 
fedezett és azóta kijavított problémájához 
kötődött. Itt jegyezzük meg azt is, hogy bár 
felbukkantak már platform-független, Li- 
nux-on és Windows-on is megélő vírusok, 
a legjelentősebbek még mindig az egyes 
operációs rendszerekhez, programkörnye- 
zetekhez kötődnek. 


Szkriptvírusok 


A terjedési közeghez való alkalmazko- 
dás egyik jó példája volt a Hybris, amely 
önállóan tudta frissíteni moduljait a világ- 
hálóról. Ám a közegen kívül természete- 
sen a vírusírás eszköztárának változása is 
hatott a vírusokra. A Word makróvírusai- 
nak kapcsán már szó esett arról, hogy a 
Windows-alkalmazások viselkedésébe be- 
lenyúló Basic nyelv alkalmas az adott al- 
kalmazáshoz kötődő, illetve a Visual Basic 
for Applicaton (VBA) kódjait értelmezni 
képes kártevők előállítására. 

A jobb sorsra érdemes és a rendszergaz- 
da kezében igen hatékony eszközzé tehe- 
tő Windows Scripting rendszerrel is gyor- 
san és nem is túl nagy szakismerettel fej- 
leszthetünk a rendszerek mélyére is beha- 
tolni képes kódot. Nem véletlen tehát, 
hogy a Visual Basic alapján fejlesztett 
szkriptvírusok, a szkriptrészleteket is hasz- 
náló vírusok egyre sűrűbben bukkannak 
fel a kártevők világában. 

A vírusírókon kívül azonban továbbra is 
lényeges a felhasználó vírusterjedést segítő 
viselkedése. Ez sokszor nem más, mint az 
egészséges félelemszint hiánya, a levelek- 
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10 jótanács a Symantectől 


1 Használd a józan eszed! Még 

mindig az a jobb, ha a biztonság 
javára tévedsz. Ha bizonytalan vagy egy 
csatolmány felől, inkább töröld, főleg ak- 
kor, ha az egy azonosíthatatlan helyről 
származik! Ha csalogató animációk van- 
nak egy egyáltalán nem hivatalosnak tű- 
nő helyen, ne töltsd le őket! 

Vizsgáld meg a flopikat használat 

előtt! Ez mindig lényeges, de külö- 
nösen akkor, ha két számítógép közötti 
információcserére használod a lemezt. 
Könnyen bekaphatsz egy védtelen háló- 
zatról származó vírust és beviheted a sa- 
ját hálózatodba. A lemezen levő bár- 
mely program elindítása előtt lefuttatott 
vírusellenőrzés megelőzi a fertőzést. 

Ne kölcsönözz flopikat! Még a leg- 

jobb akaratú barátodtól is kaphatsz 
tudtán kívül vírust, trójait vagy férget. 
Címkézd " meg egyértelműen a 
flopijaidat, hogy tudd, azok a sajátjaid, 
és ne add kölcsön őket. Ha a barátod 
idegen flopit akar adni neked, javasolj 
más fájlcsere módszert! 

Flopiról ne indíts rendszert! A 

flopikon keresztül lehet talán a leg- 
egyszerűbben vírust kapni. Ha a munkád 
közben flopit használsz, vedd ki, mielőtt 
kikapcsolnád a gépedet, mert az önmű- 
ködően a flopiról próbálja majd elindíta- 
ni a rendszert, és az esetleges vírus 
máris a gépedre kerülhet. 

Ne tölts le programokat az 

internetről! Az internetes hírcsopor- 
tok vagy a sosem hallott webhelyek, 
mint megannyi megbízhatatlan forrás, 
számítógéped fő vírusbeszerzési forrá- 
sai lehetnek. Óvakodj az olyan fájlok le- 
töltésétől, amelyekről nem tudod kétsé- 
get kizáróan, hogy biztonságosak. Ide 
tartoznak a freeware-ek, a képernyővé- 
dók, a játékok és minden egyéb prog- 
ram — minden fájl, amelynek a kiterjesz- 
tése ,.exe" vagy ,.com", például olyas- 
mi, hogy ,coolgame.exe". Győződj meg 
arról, hogy a túloldalon fut-e víruselhári- 
tó program. Ha le kell töltened valamit 
az internetről, ellenőrizz minden egyes 


ben kapott programok gyanútlan és kriti- 
kátlan elindítása. Ebben az olyan levelező- 
program is ludas lehet, amely szinte kínál- 
ja a felhasználó becsapását, és lehetővé te- 
szi a csatolt állományok egyszerű kattin- 
tással való aktiválását. 

A vírusok és rokonaik világa folyamato- 


programot, mielőtt futtatnád azokat! Az 
összes letöltést egy könyvtárba gyújtsd, 
és használat előtt annak teljes tartalmán 
futtasd le a víruskeresőt! 

Frissítsd gyakran a víruselhárító 

programodat! — Egy víruselhárító 
program éppen annyira hatásos, ami- 
lyen sűrűn frissíted. Nap mint nap szü- 
letnek új vírusok, férgek és trójaiak. A 
nem napra kész szoftver mellett át- 
csúszhat valamelyik variánsuk. 

Légy azonnal védve! Úgy állítsd be a 

víruselhárító szoftveredet, hogy a 
rendszerindításkor az is elinduljon és fo- 
lyamatosan fusson! Ez biztosítja az 
esetlegesen elfelejtett, vagy szándéko- 
san kihagyott csatolmányvizsgálat ese- 
tére a védelmi tartalékodat. Azáltal, 
hogy a víruselhárító szoftveredet önindí- 
tóvá teszed, mindenképpen biztosítod 
az azonnali védelmedet, még ha el is fe- 
lejtenéd elindítani azt. 

Vizsgálj meg minden érkező e-mail 

csatolmányt! Feltétlenül küldd át a 
vírusellenőrzésen az összes, megnyitni 
szándékozott csatolmányt! Tedd meg 
ezt még akkor is, ha ismered a feladót, 
és megbízol benne. A rosszakaratú 
programok, például a trójaiak a baráti 
forrásból is beszivároghatnak a rendsze- 
redbe. 

Ne nyisd meg automatikusan a csa- 

tolmányokat! Feltétlenül akadályozd 
meg, hogy a levelezőprogramod magá- 
tól nyissa meg a csatolmányokat! Ezzel 
gondoskodsz arról, hogy futtatásuk előtt 
meg tudd őket vizsgálni. Nézz utána a 
levelezőprogramod biztonsági beállítá- 
sainál, vagy a beállítások menüpontjá- 
ban, hogy mit kell tenned! 

Telepíts megbízható  víruselhárító 

programot! A víruselhárító program 
rendszeresen átnézi a fájlokat, hogy 
nem változott-e a hosszuk, nincsenek-e 
benne az ismert vírusok listájában, nem 
gyanús-e a csatolmány, vagy nem mu- 
tatkozik-e valami riasztó jel. Ez a legfon- 
tosabb dolog, amit a számítógéped ví- 
rusmentessége érdekében megtehetsz. 


san alakul, a kártevők száma úgyszólván 
napról napra nő. Így egyre nagyobb jelen- 
tőségű, hogy a vírusirtó alkalmazás ne 
csak ott legyen a gépünkön, hanem napra, 
vagy szükség esetén órára készen frissített 
állapotban is legyen. 

Simay Endre István 


Auditorium Naximum 


Az IT biztonság, annak folyamatos menedzsmentje, illetve 


auditálása egyelőre még gyerekcipőben jár mifelénk, de a 


szakértők szerint látványos fejlődés előtt áll ez a szakterület. 


Cikkünkben a módszereket, szabványokat járjuk körül, és 


vázlatosan bemutatjuk az IT audit piac szereplőit is. 


címben szereplő latin név a Buda- 
A: Műszaki Egyetem egykori és 

mostani hallgatói számára ismerő- 
sen cseng: a patinás központi épületben 
található legnagyobb előadótermet hívják 
így. Cikkünk élére azonban nem csak a 
szójáték kedvéért került: az információ- 
technológia biztonságáról szóló átfogó el- 
lenőrzés és az arról szóló minősítés, más 
néven az ÍT biztonsági audit szerepe az el- 
következő években egyre nagyobb lesz. Is- 
merkedjünk meg tehát a szakmai háttérrel, 
az eljárásokkal, az egyelőre még nem vi- 
lágszerte elfogadott szabványokkal és a 
bimbózó hazai piac szereplőivel. 


Szabályok és szabványok 


Az egyre kiterjedtebb cégen belüli háló- 
zatok, az internet, a kettő kombinációja- 
ként elterjedt VPN (Virtual Private Net- 
work), azaz virtuális magánhálózati meg- 
oldások elterjedésével a rendszerek nyi- 
tottsága, a kívülről jövő rosszindulatú be- 
hatolásokkal szembeni kiszolgáltatottság 
egyre nő. A bonyolultság növekedése ma- 
gában rejti a meghibásodások kockázatá- 
nak a növekedését. A cégek, állami szer- 


(a teljesség igénye nélkül) 


EMIB Tanácsadó Kft. — AS/400 rend- 
szerek biztonsági szakértői 

Hunaudit Kft. — Az APEH , hosszú báj- 
tok éjszakája" körüli auditálás főszerep- 
lője 

Hunguard Kft. — többek között a 
MEHA/ITB szellemi háttere e témában 

IMSys Kft. - főleg bankok és biztosítók 
partnere 


vek terebélyesedésével nő a munkatársak 
esetleges félrelépésének a kockázata is. 
Ugyanakkor az informatika egyre inkább 
átszövi életünket, egyre több kritikus 
(mission critical) rendszer működésétől 
függ a gazdálkodók és a hatóságok műkö- 
dőképessége. Az informatikai rendszerek 
adatbázisaiban felhalmozott információ 
értéke is egyre nő, és nem csak a reprodu- 
kálásukhoz szükséges munkamennyiség 
nagysága miatt. 

Az említett okok miatt az informatikai 
biztonság kérdése szükségszerűen egyre 
inkább az érdeklődés homlokterébe kerül. 
A kockázatok sokfélék, a legtöbb helyen a 
heterogén, több éves fejlődés során kiala- 
kult informatikai rendszerek, hardver- és 
szoftvermegoldások számos rést kínálnak 
a támadások vagy a véletlen meghibáso- 
dások számára. 

Közben egyre több felelős vezető teszi 
magáévá a gondolatot, hogy az IT bizton- 
ságával folyamatosan törődni kell. Az in- 
formációtechnológiai (IT) rendszer vala- 
mennyi elemét külön-külön és együtt is fo- 
lyamatosan vizsgálják azok működése so- 
rán az informatikai biztonsági eljárások 
szempontjából. A vizsgálatok eredményé- 


Kis-közepes nagyságú, szakosított tanácsadó cégek 


Metacom - referenciák: minisztériu- 
mok, önkormányzatok, állami nagyválla- 
latok 

Nektor IT Security 

Noreg Információvédelmi Kft. -— a 
Montana csoport tagja, bankok/pénz- 
intézetek, a telekommunikáció partne- 
re 


AzIT megkbásodásainak okai 


Szoftver jellegű 4044 d" 


Operációs Egé 34 
gsaakirő Fnmberi mulasztás miatt 294 


Vínz 646 


Nemenberi mulasztás miatt 1896 


Forrás KÜRT Comouter. 1999 


A felmérés óta eltelt időben a vírusok, illet- 
ve a külső behatolások súlya tovább nőtt 


től függően a legjelentősebb veszélyforrá- 
soknál a költségkereteken belül korrigálják 
a rendszert. Az itt leírt folyamat az IT rend- 
szer üzemeltetésének része, vagy részévé 
kell, hogy váljon. E belső vizsgálatokkal 
párhuzamosan időszakonként célszerű a 
teljes vizsgálatot egy informatikai bizton- 
ságra szakosodott külső auditáló céggel (is) 
elvégeztetni, amely a független vizsgáló 
szemszögéből összehasonlítja a megfogal- 
mazott biztonsági eljárásokat a szabvány- 
elemekkel és a gyakorlati alkalmazással. 
Mindezen vizsgálatok célja az, hogy rávi- 
lágítsanak az informatikai biztonság gyen- 
ge pontjaira, az adatvesztés kockázatára és 
még egy sereg kézzelfogható paraméterre, 
amelyek a felelős vezetők számára világos 
képet festenek a pillanatnyi helyzetről, és 
kiindulópontot adnak a jövő stratégiai 
döntéseinek meghozatalához. A hangsúly 
a rendszeres (belső/külső, valamint részle- 
ges/teljes) vizsgálaton és ez alapján az in- 
formatikai biztonsági rendszer folyamatos 
módosításán, javításán van. 

Az informatikai biztonság speciális szak- 
ismereteket kíván. Érdekes aspektusa en- 
nek a potenciális külső támadók, a 
hackerek esete. A rendszereket vizsgálatuk 
során valódi, de ,megszelidített" hackerek 
támadásainak teszik ki. Ezek a többnyire 
tinédzserkorú vagy alig idősebb szakem- 
berek rablóból lettek pandúrrá, és tevé- 
kenységüket, az úgynevezett  , etikus 
hackelést" a vizsgálatok során szigorúan 
dokumentálják és bizalmasan kezelik. 


Adatbiztonság 


Computer Panoráma Kiadói Kft. 
Terjesztési Osztály 
ö 1091 Budapest, Üllői út 25. 


li — Tel.: 456-69-63 Fax: 456-69-70 
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Kérjük, a kézbesítés megkönnyítése és a gyors ügyintézés ér- 
dekében minden adatot feltétlenül adjon meg! 
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LLILILILILILILILILILILILILILIL], 
hsz. delle em./ajtó: LILVLIL] 


Telefon (napközben): 06 l [ 


Mobilszám: 06 LILILILIL] [] LILIL] 


[d ep 2003/1 LI cp 2003/2 


Aláírás 


AJÁNLATUNK A KÉSZLET 
EREJÉIG ÉRVÉNYES. 


Átfutási idő körübelül 2 hét. 

Internet: www.computer panorama.hu/megrendeles, 
Email: megrendelesocpanorama.hu 

A megrendelt újságokat utánvéttel küldjük, áraink a 
postaköltséget nem tartalmazzák! (A postaköltséget 


[I eP 2003/3 [d ep 2003/4 I CP 2003/5 az érvényes postai díjszabás szerint számoljuk.) 


1009-os biztonság nincs. De mennyit 
ér meg a biztonság adott szintű emelése? 
Egy példával élve: ha a hűtőszekrényünk- 
kel mondjuk kétévente történik valami, 
és éppen a nyaralás alatt olvad le áramki- 
maradás vagy műszaki hiba miatt, körül- 
belül 15 ezer forint értékű mélyhűtött áru 
megy tönkre. Ha 300 ezer forintért vehet- 
nénk saját áramfejlesztőt, nem érné meg, 
mert aránytalanul nagy a befektetés a 
veszteséghez képest. Más lenne a hely- 
zet, ha hetente olvadna le a hűtő, vagy 
ha milliós értékű kaviárt tárolnánk ben- 
ne. A biztonsági intézkedések meghoza- 
talának tehát fontos része a költség/ha- 
szon elemzés. 

Minden információbiztonsággal foglal- 
kozó tanácsadó egyetért abban, hogy a cé- 
gek, illetve hatóságok informatikai rend- 
szereinek működését egy Informatikai Biz- 
tonsági Szabályzatban (rövidítve IBSz) kell 
szabályozni. Ez a többi szabályzathoz ha- 
sonlóan rögzíti a folyamatokat, a doku- 
mentálás rendjét, de tartalmazhat például 
konkrét terveket a bekövetkezhető infor- 
matikai  katasztrófahelyzetek kezelésére, 
,túlélésére" is. Érdemes belegondolni per- 
sze abba is, hogy egy ilyen gyorsan válto- 
zó területen, az újabb és újabb veszélyek, 
támadások közepette hogyan lehet a mű- 
ködés egyszerre szabályozott és dokumen- 
tált, ugyanakkor rugalmas és képes gyor- 
san reagálni a kihívásokra... 

Amíg például a minőségbiztosítás terén 
nemzetközileg elfogadott, egyeduralkodó 
szabványok vannak (az ISO 9000 család), 
az informatikai biztonság területén a szab- 
ványosodás szintje egyelőre még sokkal 
alacsonyabb. 

A terület szakértőinek nemzetközi szer- 
vezete az ISACA (Information Systems Au- 
dit and Control Association -— Nemzetközi 
Informatikai Auditorok Egyesülete). Ez ki- 


dolgozott egy ajánlást, egy IT szabályozási 
szabvány- és  célgyűjteményt  COBIT 
(Control Objectives for Information and 
Related Technology — irányítási célok az 
információs és rokon technológiák számá- 
ra) néven. 

Egy további irányelv-gyűjtemény az 
úgynevezett Common Criteria. Ezt egy 
Egyesült Államokbeli kutatóintézet dol- 
gozta ki az USA központi kormánya meg- 
bízásából, majd számos állam csatlakozott 
hozzá, és kialakult a nemzetközi minősítés 
szervezete is. Hazánkban a Miniszterelnö- 
ki Hivatal égisze alatt működő Informati- 
kai Tárcaközi Bizottság ajánlások kereté- 
ben állt e rendszer mellé. 

Talán a legnagyobb esélye a teljes körű 
nemzetközi elfogadtatásra az ISO17799 — 
leánykori" . nevén British Standards 
BS7799 - szabványnak van. A GKM ez évi 
pályázatai is ezt a szabványt támogatják. 

A szakértőcégek ezen szabványok, illet- 
ve ajánlások egyike-másika, vagy az ezek- 
ből kialakított mix alapján dolgoznak. Ter- 
mészetesen a minősítők is minősítve van- 
nak: a szakembereknek az ISACA jogosult 
a CISA (Certified Information Systems 
Auditor — minősített információs rendszer 
auditor) címet adományozni. Hazánkban 
egyelőre nem túl nagy a CISA minősítésű 
szakértők száma. 


A támadások 
következményei 


Amint azt a legutóbbi, 2002 októberé- 
ben megjelent , Adatbiztonság" különszá- 
munkban . részletesen bemutattuk, a 
Bellgesearch kutatócég 2002-es — 400 cég 
körében végzett — telefonos felmérései 
alapján Magyarországon az informatikai 
biztonság fontosságát közepesnek, az ötfo- 
kozatú skálán 3 és 4 közötti pontszámmal 


AZ informatikai biztonsági rendszer által érintett területek 


Biztonsági rendszer kialakítása : 


Az AAM így szemlélteti az informatikai biztonság elemeit és a menedzsment folyamatát 


omputerpanorama.hu 


Többféle profilú, nagyobb 
tanácsadó cégek, 
rendszerintegrátorok 


AAM - referenciák nagyvállalatoktól 
minisztériumokig 

MCS - német tapasztalatok hazai 
forrása 

STRATIS - a Meta Group tagja 

FreeSoft Kft. 3A - Audit, Adatbizton- 
ság, Alkalmazásfelügyelet üzletág 

ICON Számítástechnikai At. Informa- 
tikai Biztonság Üzletága 

KÜRT Rt, — saját fejlesztésű IBÍT In- 
formatikai Biztonsági Technológia 

Synergon Informatikai Rt. Üzleti és 
Biztonsági Tanácsadás Üzletág 

telnet Magyarország At. Informatikai 
Biztonság divíziója 


értékelték a megkérdezettek. Tették ezt an- 
nak ellenére, hogy az elmúlt két évben a 
hazai cégek közel 209o-át érte közvetlen 
anyagi kár valamilyen informatikai bizton- 
sági probléma miatt. A kérdést annál fon- 
tosabbnak ítélték meg, minél nagyobb volt 
a képviselt cég. 

A hazainál jóval fejlettebb és nyitottabb 
amerikai gazdaságban a veszélyek már 
sokkal nagyobbak. Amint azt a Computer 
Security Institute és a Szövetségi Nyomozó- 
iroda (FBI) közös kutatása kimutatta, a tava- 
lyi évben az amerikai cégek 8599-át érte ví- 
rusfertőzés, körülbelül 4099-uk szenvedett 
el kívülről vagy belülről indított rendszer- 
betörést, illetve ,Denial of Service" (szol- 
gáltatás megtagadás) típusú támadást. 

Hogy az anyagi következményeket is ér- 
zékeltessük, álljon itt néhány kiragadott 
példa: a Code Red vírus, pontosabban fé- 
reg csupán 9 óra alatt több mint 250 ezer 
rendszert fertőzött meg világszerte 2001. 
július 19-én, és 18 óra alatt érte el a globá- 
lis telítettséget. A Computer Economics 
becslése szerint ennek az egyetlen táma- 
dásnak a gazdasági hatása összesen 2,6 
milliárd dollár volt. Egy másik vírus, a 
Sircam által okozott kár összességében 1,3 
milliárd dollárt tett ki. 

A hazai példatárból is említsünk egy 
esetet: az anyagi következmények ismere- 
te nélkül is bizton állíthatjuk, hogy súlyos 
gondokat okozott az OEP (régebben TB) 
néhány évvel ezelőtti adatvesztése, amikor 
is aggazdálkodóktól újra bekért papír-alapú 
saját bevallási példányok alapján rögzítet- 
tek újra bizonyos adatokat. 

Kis Miklós 


Adatbiztonság 


FAX MEGRENDELŐLAP 


Computer Panoráma Kiadói Kft. 
Terjesztési Osztály 

1091 Budapest, Üllői út 25. 
Tel.: 456-69-63 j 


Fax: 456-69-70 


Igen, utánvéttel megrendelem az alábbi 
2002-es és 2003-as különszámokat: 
I 2003/1 Tesztgyőztesek (495 Ft) 


ÉT 2003/2 CAD/CAM (695 Ft) cégnév: LILILILILILILILILIL] 


CI 2003/3 PC-Házimozi (1990 Ft) 


CI 2003/4 Download (695 Ft) HEILILILILILILILILII je 
CI 2002/17 Távközlés (595 Ft) , — - 
CI 2002/16 Hálózatok (695 Ft) sz: LILILILI Hervség: LIL IL IL IL] 

l 

[] 


CI 2002/15 Tesztek (695 Ft) [ [ BIBE! 

CI 2002/14 Monitorok (495 Ft) ges sz. én 

CI 2002/13 Arany Válogatás III. (1 690 Ft) úvutcatér: [JLILILILILILILIL] 

CI 2002/12 Mobil Világ 2. (495 Ft) 

CI 2002/11 Windows XP (595 Ft) ( I IL [ I , 

6 2002/10 Adatbiztonság (695 Ft) s Ül áz fájtá; ODO 
2002/9 CAD/CAM Trendek 2. (695 Ft) 


ÉT 2002/8 Arany Válogatás II. (1 495 Ft) Telefon (napközben): 06 Il ] 
CI 2002/7 Notebook (695 Ft) 


CI 2002/6 Mobil Világ 1. (495 Ft) E-mail: LILILILIL] L] L] 

CI 2002/5 Monitorok 1. (495 Ft) f Fri fi 
[d 2002/4 CAD/CAM Trendek 1. (695 Ft) LILILILIL IL IL I IL] LEILILIL IL I 
CI 2002/3 Internet 1. (595 Ft) Kérjük, a kézbesítés megkönnyítése és a gyors ügyin- 
mi 2002/2 Nyomtatók (595 Ft) tézés érdekében minden adatot feltétlenül adjon meg! 


Computer - 


WIvDows XP 
gzzpgen cégnév [ IEEEE E ETEEEI 
LILILII IL] ] 
esz. JE TRTEéyssáx elfele] 
LILILILILILILILILILILIL IL ] 
HENK 
[] 


] 
Ed 
md) 


3 ÖVsza J : Út/utca/tér: (ELETE 
TÁVKÖZLÉS ss tág [ODO 


Ca 


hézül Il [ ], em./ajtó: 


Telefon (napközben): 06 


1 
] 
mobilszám: 06 LILILILILILILILIL] 


7TTES e; t Aláírás 
INTERNET v : 
17.) Zaktá 288 
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, EG mesz Internet: www.computer panorama.hu/megrendeles, 
E-mail: megrendeles Ocpanorama.hu 
A megrendelt különszámokat utánvéttel küldjük, ára- 
ink a postaköltséget nem tartalmazzák! (A postakölt- 


séget az érvényes postai díjszabás szerint számoljuk.) 


put 
ni MOBIL / 


slammer és társai 


Nyakunkon az ellenség 


Egyre gyakrabban hallunk 
híreket vírustámadásokról, új 
és egyre veszélyesebb 
vírusok felbukkanásáról. 
Elemzésünkben a 
vírusvédelem különböző 
aspektusait járjuk körül, a 2F 


tapasztalataira alapozva. 


Mobil tartalomszűrő 


Az F-Secure Corporation bejelentet- 
te az F-Secure Mobile Filter termékét, 
a világ első tartalombiztonsági megol- 
dását a vezeték nélküli letöltő-rendsze- 
rekhez. A termék tartalomszúrési lehe- 
tőséget kínál a szolgáltatók számára a 
kártékony szoftverek és az inkompati- 
bilis Java alkalmazások kiszűrésére, 
még mielőtt azok letöltódnének a mo- 
biltelefonokra. A megoldás a szűrési 
feltételek automatikus frissítésének a 
szolgáltatását is tartalmazza. Emellett 
a szolgáltató rugalmasan definiálhat 
szabályokat a nem kívánt tartalom 
blokkolásához. 

Az F-Secure Mobile Filter Java 
bájtkódelemzést és víruskeresést vé- 
gez az inkompatibilis Java szoftverek 
és más káros tartalmak kiszűrésére a 
hálózaton, még a letöltés előtt. A 
transzparens proxy felépítés megköny- 
nyíti az integrációt a letöltő-platformok- 
kal, a szolgáltató oldalán található fel- 
használói felület pedig lehetővé teszi a 
nemkívánatos funkciók és akár az 
egyes inkompatibilis Java függvények 
kiszűrését is. Az F-Secure Anti-Virus 
Research központ automatikus, napi 
24 órás szolgáltatást nyújt a tartalom- 
elemző adatbázis frissen tartásához. 


W.computerpanorama.nu 


Miért kell védekeznünk? 


Nem árulunk el titkot azzal, hogy a ví- 
ruskereső programok feladata a vírusos 
programok (valamint a trójaiak, dokumen- 
tum-makrók és társaik) felderítése és ártal- 
matlanná tétele. Ha csak annyit megte- 
szünk, hogy használjuk, és rendszeresen 
frissítjük őket, máris sok veszélyforrást ha- 
tástalanítottunk: a flopikon és 


8,5 másodpercben megduplázta a fertő- 
zött gépek összlétszámát, és három percen 
belül elérte aktivitása csúcspontját, amikor 
is másodpercenként 55 millió adatcsoma- 
got küldött szét a Világhálón. A Slammer 
terjedése két nagyságrenddel (!) gyorsabb 
volt a 2001 nyarán megjelent CodeRed ví- 
rusénál, amely átlagosan 37 percenként 
duplázta meg a fertőzött gépek számát. 


CD-ROM-okon terjedő, e- 
mailben érkező, letölthető 
fertőzéseknek vége. A gé- 
pünket fenyegető veszélyek- 
nek azonban, sajnos, nem. 

Számítógépünk képes az 
internetre csatlakozni, vagy 
már eleve egy cég hálózatá- 
ba van kötve, ez pedig igen 
komoly veszélyforrás. Több 
tanulmány . egybehangzóan 
állítja, hogy az adatokat ért 
támadások nagyjából 80 szá- 
zalékáért saját munkatársa- 
ink a felelősek. A támadók 
véletlenül vagy szándékosan 
akaszkodnak mások gépére, 
hogy ott, szintén véletlenül vagy szándé- 
kosan, adatvesztést okozzanak. Néha elég 
egy lelkes kolléga, aki csak , segíteni" 
akart. De előfordulnak komolyabb esetek 
is, amikor szándékosan egymás adatait 
lopták, törölték alkalmazottak vagy egyko- 
ri alkalmazottak. Közvetlenül az internetre 
csatlakozva pedig még hatványozottabban 
fordulhat elő ilyesmi. 


Egy új korszak kezdete 


Érdekes példa az alig pár hete megjelent 
Slammer (vagy Sapphire) vírus. 

Az SOL-Slammer néven is ismeretes 
Sapphire féreg, amely január 25-én jelent 
meg az interneten, új korszakot nyitott a 
gyorsan terjedő internetes vírusok történe- 
tében. Egy neves elemzőcég felmérése 
szerint a megfertőződött SOL szerverek 
9099-a a járvány első 10 percében esett ál- 
dozatul a Slammernek. Az általuk nemrég 
publikált jelentés szerint a Slammer féreg 
közvetlenül megjelenése után már minden 


2F 2000 Internet Központ 


2 7090 szzealmtsztok a 11 an 


A 2F 2000 Kft. szolgáltatásai között kiemelkedő helyet 
foglal el az adatvédelem 


A Sapphire férget készítő rosszindulatú 
hacker kifinomult, kézzel optimalizált gépi 
kódban írta meg a kártevőt. Emiatt annak 
mérete a memóriában mindössze 250 bájt 
(és az adathálózatban is csak 376 bájt), így 
szinte korlátlan példányszámban tud terjed- 
ni szerverről szerverre, a modern nagy se- 
bességű hálózatokon keresztül. Mivel a féreg 
egyáltalán nem tartalmaz közvetlenül a gé- 
peket pusztító rutint, a kódja igen kis méretű 
lehetett, és a további terjedés alapjául szol- 
gáló fertőzött szerver-állománya is folyama- 
tosan növekedett. A kisméretű, körülbelül 
300 bájtos kártevő programkódja ugyanis 
annyira egyszerű, hogy csak a működéshez 
szükséges információkat hordozza. 

Mivel a Sapphire féreg létezése a Win- 
nem kerül kiírásra a háttértárolókon. A ma 
létező víruskereső szoftverek rajtuk kívül- 
álló okokból nem képesek a teljes rend- 
szermemóriát ellenőrizni, így a Sapphire 
hatékony felismerését nem lehet beépíteni 
az adatbázisaikba. A megfelelő védelmet 


az operációs rendszer és az alkalmazások 
gyártói által kiadott biztonsági frissítések 
telepítése és a tűzfalak megfelelő konfigu- 
rálása jelenti. 

Okulva a korábbi vírusok írói által elkö- 
vetett hibákból, a Sapphire féreg a rend- 
szer órajelciklusát használja a célpontként 
szolgáló véletlen IP-címtartományok gene- 
rálására, így bár az erőforrásokat nagyon 
pazarló módon, de korlátlan mértékben 
tud terjedni. Ennek egyik mellékhatása, 
hogy a kiküldött csomagok gyakran 
wmulticast packet" típusú címmel rendel- 
keznek, vagyis a legrosszabb esetben 
egyetlen csomag is egy egész alhálózatnyi 
kiszolgálót fertőzhet meg! Ez a technika 
eddig ismeretlen volt. 

A Slammer vírusról szóló jelentésben a 
CAIDA munkatársai kifejtik, hogy ez a fé- 
reg alapul szolgálhat olyan jövőbeli válto- 
zatok kifejlesztéséhez, amelyek még gyor- 
sabban terjednek, és nagyobb káoszt 
hagynak maguk után. ,Ha a Slammer írói 
elterjedtebb szoftvert vagy biztonsági hiá- 
nyosságot választanak célpontjuknak, és 
pusztító rutinnal egészítik ki a féregvírust, 
minden bizonnyal sokkal komolyabb kárt 
okozhattak volna" — áll az elemzésben. 

A Microsoft 2002 júliusa óta ismerte azt 
az SOL 2000 biztonsági hibát, amelyet a 
Sapphire kihasznált, és amelyre a javítás 
meg is jelent júliusban. Sajnos jellemző, 
hogy mind a különböző operációs rend- 
szerekre, mind pedig az alkalmazásokra 


igazság szerint a tömeges fertőzésen túl- 
menően jelentős adatvesztést okozó pusz- 
títást is véghez tudtak volna vinni. Az is 
szándékosnak látszik, hogy éppen a hétvé- 
gére időzítették a támadást, amikor a mun- 
kavállalók és a számítástechnikai szakem- 
berek jó része nincs a munkahelyén. 

A Slammer leglényegesebb tulajdonsá- 
ga, hogy viszonylag könnyen lehet véde- 
kezni ellene — de nem víruskeresővel. A ví- 
ruskeresők ugyanis merevlemezünk állo- 
mányait vizsgálják folyamatosan, ez a ví- 
rus azonban sohasem ölt állományformát. 
Jelen lehet a gép memóriájában és a háló- 
zaton is, fájlként azonban sosem találjuk. 
Fertőzési módja a számítógépeket feltörő 
crackerek, illetve az egymás adatait lopko- 
dó kollégák módszereit idézi: a hálózatot 
felhasználva támadja és fertőzi meg cél- 
pontjait, a víruskeresők számára mindvé- 
gig láthatatlanul. 


Mire jó a tűzfal? 


Hogyan védekezzünk akkor? Mit tehe- 
tünk a Slammerhez hasonló járványok, a 
gépünket célzó ismerősök és kollégák, is- 
meretlenek ellen? A megoldás a hálózati 
forgalom elemzése. Ezt legtöbbször a tűzfa- 
lak végzik, amelyek a vállalati hálózatok ki- 
és bejövő forgalmát ellenőrzik. Saját kollé- 
gáink ellen azonban nem védenek meg, és 
ugyanez a helyzet akkor is, ha például egy- 
szerű internet-felhasználóként . otthonunk- 
ból kapcsolódunk a hálózat- 
ra. Nincs mit tenni, saját gé- 
pünk védelmére egyedi tűzfal 
kell. Ezeknek két fő fajtája is 
ismeretes, a vállalati és ottho- 
ni felhasználás igényeihez 
igazodva. A személyi tűzfalak 
a nagy és bonyolult vállalati 
tűzfalak védelmét adják — 
egyetlen gépnek. Feltelepítve 
a felhasználó szabályozhatja, 
ki és hogyan férhet a gép ada- 
taihoz, erőforrásaihoz. Mivel 
beállítása a felhasználó aktív 


A Vírus Híradó portál hiteles és naprakész tájékoztatást 
nyújt a vírusokról, és hasznos információkkal látja el a 
PC-felhasználókat 


kiadott hibajavító biztonsági javításokat 
NEM futtatják le a rendszergazdák, csak 
miután azok hiánya problémát okozott. 

A Slammer írói — valószínűleg szándé- 
kosan — kihagyták a büntető rutinjukat, 
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közreműködését . igényli, a 
dokumentáció  tanulmányo- 
zására nagy szükség lesz. 

vállalati környezetben az igé- 
nyek és az elvárások is mások 
az effajta eszközökkel szemben. Itt rend- 
szerint elosztott tűzfalakat használnak. 
Ezek hasonló elven működnek, mint a sze- 
mélyi tűzfalak, ám felügyeletüket, beállítá- 
sukat, karbantartásukat a vállalat rendszer- 


Veszélyesebb vírusok 
2003-ban 


Veszélyesebb és nehezebben detek- 
tálható vírusok megjelenését helyezte 
kilátásba 2003-ra Kimmo Alkio, az F- 
Secure Corporation alelnöke. 

2002-ben új típusú fenyegetések je- 
lentek meg: a vírusok terjedése Linux 
rendszereken, a nyílt forráskódot ki- 
használó támadások, az otthoni számí- 
tógépekbe való betörések egyre gya- 
koribbá válása és az ázsiai vírusírók 
egyre növekvő aktivitása rengeteg 
munkát adott az adatbiztonsággal fog- 
lalkozó cégeknek. 

Az új technológiák, a sok platform, 
valamint a mobil- és a vezeték nélküli 
eszközök rohamos terjedésével együtt 
nő a potenciális támadások száma is. 

Mindezek a fenyegetések nagy lehe- 
tőséget, komoly piaci potenciált tarto- 
gatnak a biztonsági cégek számára. 
Kimmo Alkio szerint azonban a megfe- 
lelő megoldás kiválasztásánál ma már 
egyre nagyobb szerepet kapnak a 
könnyen menedzselhető, ,mobil válla- 
lati" biztonsági rendszerek, és egy 
ilyen komplex biztonsági szolgáltatás 
esetében a márkanév és a hozzá fúző- 
dó tapasztalat is egyre inkább megha- 
tározó szempont. 

Az F-Secure — melynek magyarországi 
disztribútora a 2F 2000 Kft. — 1099-os pi- 
aci részesedéssel bír a magyar piacon. 

A hazai felhasználók informálása ér- 
dekében a 2F 2000 Kft. munkatársai 
2002 novemberében elindították a Ví- 
rus Híradó portált (www.virushirado. 
hu), amely magyar nyelven nyújt hite- 
les és naprakész tájékoztatást a víru- 
sokról, s hasznos információval látja el 
a PC felhasználókat. 


gazdája végzi. Ily módon a felhasználók 
védetté válnak egymással és a külső veszé- 
lyekkel szemben, miközben egyáltalán 
nem kell bonyolult hálózati fogalmakkal 
megismerkedniük, érthetetlen műszaki kér- 
désekre hasukra ütve válaszolniuk. 

Az elosztott és a személyi tűzfalak egy 
lépéssel tovább viszik a számítógépek vé- 
delmét. A statikus, állományokban kereső 
vírusvédőkre továbbra is szükség lesz — ám 
a dinamikus, a hálózatot aktívan felhasz- 
náló támadások, fertőzések ellen csakis 
ezekkel védekezhetünk hatékonyan. 

Fórján Tamás, Csizmazia István 
2F 2000 Kft. 


nun ramnutannar 


öviden összefoglalva az ISee funk- 
R-:s a termék mindent megfigyel, 

rögzít, az engedélyezett akciókat 
hagyja, a tiltottakat nem hagyja végbe- 
menni, összegzi a tapasztalatokat, a koc- 
kázatot viselkedési modellek alapján a 
mesterséges intelligencia segítségével me- 
nedzseli. Vagyis az IT szakképzettséggel 
nem rendelkező főnök is tud értékelni és 
beavatkozni, azaz képes az , elvárható" te- 
vékenység végrehajtására, a biztonság ér- 
dekében. Ezáltal mentesül az esetleges 
nem kívánt jogkövetkezményektől, ame- 
lyektől azok tarthatnak, akik a mai üzleti 
és egyéb területeken felértékelt informati- 
kai rendszerek kockázatait nem, vagy nem 
megfelelően kezelik. 


Titkosügynok 


Lassan átalakul társadalmunk szemlélete az informatikai biz- 


tonság mibenlétét és felelősségét illetően. Inmár nálunk is 


elérkezett az idő egy minden részletre kiterjedő adatvédelmi 


termék megjelenésére. Ez a termék a Megatrend Rt. által ki- 


fejlesztett ISee. 


Mivel az IT támadások túl- 


Adatok tárolása 


jé 4 2. Sniffer 
nyomó többsége még az 
Fi Fi a Adatok gyűjtése a 
internet mai fejlettsége mel- Kiensekről 
lett is elsősorban a belső [ 
munkatársak részéről érke- kezszezese 


zik, az ISee logikus módon a 
kliensekre koncentrál, és IP alapú kommuni- 
kációt használ, tehát bármilyen nagygépes 
erőforrásra támaszkodó hálózaton is életké- 
pes. Jelenleg teljes körűen a Microsoft, a 
Unix, a Novell és a Banyan Vines hálózato- 
kon tudja ellátni a szerverek védelmét. 

Az ISee moduljai — a Sniffer, az Agent és 
az Inspector — különálló egységek, ame- 
lyek önállóan, azaz off-line üzemmódban 
is működőképesek. 


Sniffer 


A Sniffer a kliensgépeken futó kisméretű 
és kis erőforrás-igényű, a háttérben észre- 
vétlenül működő alkalmazás, amely — egy 
speciális megoldás révén — láthatatlan a 
fájlrendszerben. A Sniffer az alábbi aktivitá- 
sokról szolgáltat az Inspector által meghatá- 
rozott módon és mélységben információt: 
1. Képernyőtartalom 
2. Perifériák aktivitása (billentyűzet, flopi, 
printer, CD-ROM stb.) 

3. Fájlaktivitás 

4. Szoftveraktivitás (operációsrendszer, al- 
kalmazás) 

5. Hálózati aktivitás 

A Sniffer hálózat nélküli, off-line üzem- 
módban is működőképes. Ekkor a helyi 
adattárolóra dolgozik (a létrehozott adatál- 
lomány rejtett), és ha újra online állapotot 
észlel, azonnal szinkronizál az Agenttel, s 
átküldi az off-line állapot alatt keletkezett 
adatokat. Az Inspector a Sniffer off-line ál- 
lapotáról értesül. 


Az ISee működési modellje 


A felügyelet módja a képernyő esetében: 
a képernyő grafikus tartalmáról teljes má- 
solatot készít, hasonlóan a PrintScreen uta- 
sításhoz. 

A képmásolat jellemzői: 

s Egyedi képformátum 

s Digitális vízjellel (rejtett digitális infor- 
mációkkal) ellátott 

s Digitális pecséttel (név, dátum, idő) 
ellátott 

s Részletgazdag, nagyítható, változtat- 
ható a felbontása 

s Tömörített és titkosított. 

Az ISee különleges digitális vízjel alap- 
ján azonosítja a képeket. A digitális vízjel 
a képet leíró bináris állományba rejtett in- 
formáció, amely tartalmazza többek kö- 
zött a digitális pecsétet és a fájl bináris el- 
lenőrző összegét. Az ISee a bináris ellen- 
őrző összeg révén győződik meg arról, 
hogy a képet nem próbálták retusálni. Az 
ISee teljes mértékben kizárja a törlés, mó- 
dosítás vagy a másolás lehetőségét, ha a 
menedzsment ezt is előírja. Hasonlókép- 
pen kézben tartható a billentyűzet és az al- 
kalmazások is, így azután gyakorlatilag 
csak ez engedélyezett tevékenységekre 
van lehetőség a felügyelt gépen. 


Agent 


Az Agent modul tevékenységének fóku- 
szában az adattárolás, az Inspector utasítá- 


sainak a végrehajtása (Parancs-végrehajtó), 
a rendszer integritásának állandó monito- 
rozása, illetve a Digitális Integrátor által 
létrehozott külső kommunikációk mene- 
dzselése áll. 


Parancs-végrehajtó 


A Parancs-végrehajtó az Inspector utasí- 
tásainak szakszerű végrehajtásáról és a 
műveletek  visszaigazolásáról gondosko- 
dik. A végrehajtás jellege lehet azonnali, 
eseményvezérelt, időzített és ciklikus, illet- 
ve manuálisan vagy automatikusan kezde- 
ményezett. Főbb funkciói: a riasztási utasí- 
tások és beavatkozások végrehajtása és 
nyugtázása. 


Integritás monitor 


A Rendszer-integritás monitor feladata 
az ISee rendszer moduljainak, a modulok 
legkritikusabb funkcióinak, a megfigyelés 
alá vont kliensek megfelelő működésének, 
illetve a különböző rendszerelemek kap- 
csolatának állandó felügyelete. 

s Sniffer: online, off-line állapot figyelé- 
se, Sniffer aktiválás/deaktiválás, a telepítési 
vagy illegális eltávolítási kísérletek napló- 
zása stb. 


Képernyő felügyelet 


Az eseménykezelő (Event Manager) 


s Inspector: az adatbázis hozzáférések 
naplózása, a vezérlő paraméter-állomá- 
nyok létrehozásának és módosításának 
naplózása stb. 

s Agent: Fekete Doboz adatbázis-kon- 
zisztencia vizsgálat, behatolási kísérletek 
naplózása, utasítások nyugtázásának nyo- 
mon követése stb. 


Digitális Integrátor 


Az ISee speciális része a Digitális Integ- 
rátor, amelynek segítségével a külső intelli- 
gens biztonságtechnikai berendezések két- 
irányú információs és vezérlési szintű 
kommunikációját valósíthatjuk meg. Segít- 
ségével megoldható a külső digitális biz- 
tonsági eszközök vezérlése, illetve az ada- 
tok fogadása ezekből a rendszerekből. 
Ilyen például egy kamera, amely a belépé- 
si jelszó begépelésekor vagy más progra- 
mozott esemény bekövetkezte esetén rög- 
zíti a képet. 


Inspector 


Az Inspector Center (IC) alkalmazás 
szolgál a kliens felügyeleti, elemzési és be- 
avatkozási tevékenységek, funkciók ellátá- 
sára. Az IC interaktív és ergonomikus ke- 
zelői felületet biztosít nagy felhasználó- 
számú és kiterjedt informatikai rendszerek 
megfigyeléséhez. 


Event Manager 


Az Event Manager a rendszer eseménye- 
inek magas szintű feldolgozására készült 
felület. A rendszerben zajló eseményeket 
három szinten (Alerts, Warnings, Actions) 
kezelve kínál a megfigyelő személyzetnek 
gyors és hatékony beavatkozási lehetősé- 
get. Az egyes bejegyzésekre kattintva rész- 
letes információt kapunk az adott ese- 
ményről, illetve a rendszer az azonnali be- 
avatkozási lehetőségekről is tájékoztatja a 
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kezelőt. A képernyőn a bal oldalon látható 
hálózati tallózó panelen találjuk az aktív 
és passzív klienseket. A vizuális segédesz- 
köz segítségével akár távolról is telepíthe- 
tünk Sniffer alkalmazásokat a kliensekre. 


Rule Editor 


A Rule Editor segítségével komplex ,ha 
ez-és-ez bekövetkezik, akkor tedd ezt-és- 
ezt" típusú mondatok (scriptek) fogalmaz- 
hatók meg, amelyek összességükben egy- 
egy csoportra vagy egyénre jellemző visel- 
kedésmintákat határoznak meg. Az ISee 
számos beépített fájl-, alkalmazás-, bizton- 
sági, hálózati és kulcsszó típusú szabályt 
tartalmaz, amelyek a felhasználók által 
szabadon bővíthetők. Programozni is egy- 
szerű, és a scriptek tárházát kapják a fel- 
használók, amely még mesterséges intelli- 
gencia nélkül is hatékony. Az egyik legfon- 
tosabb alkalmazása a vizuális felügyelet és 
a távbeavatkozás. 


hálózatok megfigyelésére. A terhelés el- 
osztására mind az Agent, mind pedig az 
Inspector farmokba szervezhető. Távoli te- 
lephelyeken önálló Agent telepíthető, 
amely folyamatosan replikál a központi 
Agenttel. A Sniffer minimális sávszélessé- 
get igényel, így akár vékony modemes 
vagy internet-kapcsolaton keresztül is biz- 
tosítja az online adatszolgáltatást. 


A rendszer biztonságáról 


A rendszer egésze és a rendszer kompo- 
nensei önmagukban is képesek eleget ten- 
ni a fokozottan kritikus környezetek biz- 
tonsági elvárásainak. A rendszer készítői a 
különböző kockázati szinteknek megfele- 
lően több módszert is alkalmaztak. 

1. Minden modul képes az önreprodukci- 
óra. Technikailag ezt az úgynevezett 
Shadow (árnyék) teszi lehetővé, amely 
rejtett alkalmazásként állandóan figyeli 
az adott modul státuszát, illetve értesül 

arról, ha valaki ,közelébe 


Agent farm 
sTerhelés- 
elosztás 
sReplikáció 


fe aa 


Microsoft, Unix, Novell, 
Banyan Vines hálózatok 


Inspector farm kerül" a kritikus alkalmazá- 
Terhelés- soknak, fájloknak, és be- 
elosztás avatkozik, mielőtt a műkö- 


désben zavar támadna. Az 
önreprodukcióra . kidolgo- 
zott egyedi technológia le- 
hetővé teszi, hogy a folya- 
mat alatt is működőképes 


maradjon a rendszer. 

2. Minden modulnak saját 
szabályrendszere van arra 
az esetre, ha valamilyen 


ISee topológia 


A Visual Surveillance funkció lehetővé 
teszi bármely kliensen folyó tevékenység 
online megfigyelését. Tetszőlegesen beállít- 
ható a képernyő-frissítési frekvencia, de 
akár teljes képernyős valós idejű megfigye- 
lés is lehetséges. A felület lehetőséget kínál 
több kliensen folyó munka egyidejű ellen- 
őrzésére, kicsinyített képfotók segítségével. 

A Remote Console funkció terminál- 
kapcsolatot inicializál a kijelölt klienssel, 
amelynek segítségével az adott távoli fájl- 
rendszerben böngészhetünk. A videóbe- 
rendezésekhez hasonlóan az észlelt ese- 
mények rögzíthetők, visszajátszhatók. 


Topológiai jellemzők 
1 


Az ISee alkalmas nagy kiterjedésű és fel- 
használószámú Heterogén LAN és WAN 


okból elszigetelődne a töb- 
bi modultól. A Sniffer esetén beállítható 
például, hogy off-line esetben helyi 
adattárolóra dolgozzon, vagy felfüg- 
gessze a gépet, amíg újra online állapo- 
tot nem észlel. 


A biztonság biztonságáról 


Elsőre úgy gondolnánk, hogy egy ilyen 
hatékony és kisméretű szoftver, amely 
gyorsan távolba is juttatható, nem más, 
mint egy vírus. Természetesen az eddigi 
felhasználók és a termékkel ismerkedők fő 
kérdése az, hogy vajon biztosítható-e en- 
nek a hatalmas , erőforrásnak" a kordában 
tartása. A válasz: szerencsére igen. A 
Sniffer csak ellenőrzötten és azonosítottan 


kerülhet bármely számítógépre. A ,terjesz- 
tőket" pedig ugyenez a rendszer felügyeli, 
akik így nem menekülhetnek. 

Hecks Ferenc 


Microsystems 


Hálózati azonosítás — 
biztosan és gyorsan 


A hálózati kommunikáció egyik legfontosabb kérdése a fel- 


használók biztonságos azonosítása, s lehetőleg minél gyor- 


sabb beléptetése a rendszerbe. Erre nézve több cég is kidol- 


gozta a maga legjobbnak vélt megoldását. Írásunkban a Sun 


idevágó technológiai eljárását mutatjuk be, amely máris el- 


nyerte több nagyvállalat tetszését. 


r. Smith vagy Kovács úr, mint 
minden reggel, ma is besétál 
munkahelyére. Leül számítógé- 


pe elé, és bejelentkezik a vállalati hálózat- 
ba. Mivel adatai védelme érdekében az ál- 
tala használt alkalmazások jelszóval vé- 
dettek, vállalatirányítási, döntéselőkészíté- 
si-elemző programja, adatbázis-kezelő és 
webes alkalmazásai vagy e-mail rendszere 
használatához újra és újra meg kell adnia 
felhasználónevét és jelszavát. 

A Gartner tavalyi felmérése szerint a jel- 
szómódosítások költsége átlagosan 51 és 
147 dollár között mozog cégenként, csak 


Hálózati azonosítás 


A hálózati azonosítás az évtized, vagy 
inkább az évszázad legmeghatározóbb 
kérdése, amely a vállalat legfontosabb 
értékéről szól — a közösségekről. Ügy- 
felekről, részvényesekról, partnerekről 
vagy alkalmazottakról, akiket a vállalati 
versenypozíciók megtartása érdeké- 
ben idejüket jelentősen kímélő szolgál- 
tatásokkal kell támogatni. Nem is szól- 
va arról, hogy az egységes azonosítási 
infrastruktúra . megteremtésével, az 


egyes külső és belső felhasználók ada- 
tainak egységesítésével és a különbö- 
ző hozzáférések szabályozásával a napi 
működés sokkal költséghatékonyabbá 
válik. 
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. Központi Modell 


Consumer 


"közvetítő" szerepel a 
lei között 


vállalat és ügyfe. 


Eg 


A központi modell kiépítése a hálózati azo- 
nosítás alapja 


az ezzel eltöltött munkaidőre számolva. 
Az átlagosan több mint tíz különböző 
rendszert működtető vállalatok háromne- 
gyede nem rendelkezik a felhasználók 
adatait szinkronizálni képes eszköztárral, 
illetve a webalapú szolgáltatásaik hozzáfé- 
rés-védelmét többségüknél egyáltalán nem 
szabályozzák. 

A Meta Group tanulmánya arra mutatott 
rá, hogy a 10 ezer főnél több alkalmazottat 
foglalkoztató vállalatok helpdesk hívásai- 
nak 4599-a jelszavak módosításából áll. A 
legtöbb esetben a vállalati adatkezelés 


nem egységes, a különböző információkat 
több helyen tárolják, visszakeresésük sok- 
szor rendkívül nehézkes vagy menedzsel- 
hetetlen. A szabályozatlan adatkezeléssel 
törvényi, illetve személyiségi jogi előírások 
sérülnek. 


Liberty Alliance 
Legutóbbi Adatbiztonság különszámunk- 
ban már írtunk arról, hogy a Sun 


Microsystems vezetésével jelentős lépésekre 
került sor az egységes és biztonságos adatke- 
zelés megteremtése érdekében, a tavalyi év 
őszén — megjelent úgynevezett Liberty 
Alliance szabvány új specifikációjával. 

A szabvány a Sun frissen kiadott szerver- 
technológiai újdonságában — a Sun One 
Identity Server 6-os verziójában — már he- 
lyet kapott. A felhasználói azonosítást és 
az egyes adatok hálózaton keresztüli elér- 
hetőségét még hatékonyabban menedzse- 
lő új technológia már nem csupán a válla- 
laton belüli adatforgalom karbantartási fel- 
adatait, hanem a vállalatközi információ- 
áramlást is lehetővé teszi. 


Elosztott Modell 


A hálózat nincsen egy kézben 


Lehetetlen együttműködési 
szabványok nélkül 


Az elosztott modellben már minden részt- 
vevő egyenrangú félként vesz részt 


Adatbiztonság 


Directory Proxy Identity Server 


Azonosítás / engedélyezés 


Adatatok tárolása (cimntár) 
ELÁSTA 
p— 1 


Az azonosítást végző rendszer összetevői 


A rendszer alapja a Sun Microsystems 
már működő Directory Servere, a címtár, 
amely az azonosítás alapjául szolgál. Itt 
egy helyen tárolják valamennyi felhaszná- 
lói adatot. Erre épül fel az azonosítást és az 
engedélyezést végző Identity Server, illet- 
ve az egyes szolgáltatások futását lehetővé 
tevő egyéb interfészek. A rendszer igen 
nagy előnye, hogy az egyes elemeket nem 
kell külön megvásárolni, hanem az alap- 
csomag részeként mindegyikük azonnal 
rendelkezésre áll. 


Identity Server 


Az Identity Server szabványos internetes 
környezetben (HTTP, XML, SOAP, UDDI, 
WSDL, Java) működik. A felhasználók azo- 
nosítása és engedélyeik kiadása az úgyne- 
vezett SAML (Security Assertion Markup 
Language) segítségével történik, amellyel a 
felhasználói jogok egyénileg testreszab- 
hatók. A felhasználók egyszerűen igénybe 
vehetik a vállalati hálózat vagy most már 
akár a teljes közösség online szolgáltatásait, 
és mindössze egyszer kell megadniuk a fel- 
használói azonosítót és jelszót. A számukra 
engedélyezett szolgáltatások beállításait sa- 
ját maguk is el tudják végezni, jelentősen 
csökkentve ezzel a központi rendszeradmi- 
nisztrációs költségeket. 

Amit azonban a felhasználó nem lát az 
az, hogy a rendszert kialakító hálózati szak- 
ember milyen modellt választ az azonosítá- 
si feladatok ellátására. A hagyományos köz- 
ponti modellben a szerver feladata a ,köz- 


Hasznos linkek 


www.sunonetools.com 
www.sun.comlsoftware 
www.sun.com/identíty 
www.sun.hu/products/sunone 
www.sun.com 
www.projectliberty.org 


Adathiztansán 


ze 


vetítő" szerep ellátása a vállalat és ügyfelei 
között. Itt minden adat a vállalaton belül és 
kívül a szerveren fut keresztül. A másik mo- 
dellben, az úgynevezett elosztott modell- 
ben az adatforgalom több egyenlő rangú 
partner bevonásával történik: itt a hálózat 
már nincsen egy kézben, az azonosítási és 
az engedélyezési folyamatok menedzselése 
már nem oldható meg az egységes haszná- 
latot lehetővé tevő szabványok, mint a 
Liberty alkalmazása nélkül. 


Elosztott modell 


Az elosztott modell működése legjob- 
ban a pénzautomaták szolgáltatásainak 
fejlődéséhez hasonlítható. Először minden 
bank kiépítette saját ATM rendszerét, ahol 
az egyes automaták csak az adott bank ál- 
tal kiadott kártyákat fogadták el. A követ- 
kező lépésben olyan hálózatok épültek ki, 
amelyek kártyatípus szerint csoportosítot- 
ták az automatákba behelyezett bankkár- 


Az Identy Server webes felületein a külön- 
féle beállítások egyszerűen és gyorsan el- 
végezhetők 


tyákat. A mai fejlett rendszerek pedig már 
teljesen átlátható módon azonosítják és 
engedélyezik a készpénzes tranzakciókat 
bármely hálózat vagy akár a kiadó bankok 
szerint. A Sun szakemberei szerint az el- 
osztott azonosítási rendszert több lépcső- 
ben kell kiépíteni, különös tekintettel a ha- 
zai hálózatokra, ahol az online kommuni- 
káció fejlettsége még sok kívánnivalót 
hagy maga után. 

Az elosztott modell szerint létrehozott 
hálózatban tehát Mr. Smith vagy Kovács úr 
mindössze egyszer jelentkezik be, ha pél- 
dául üzleti útjára interneten rendeli meg a 
repülőjegyét és bérelt autóját. Ferihegyen 
minden gond nélkül felszáll Frankfurt felé. 
A baj akkor kezdődik, amikor átszálláskor 
üzemzavar miatt 2 órával később indul to- 
vább, ezért 2 órával később érkezik meg a 
tengerentúlra. Az előre lefoglalt bérelt autó 


Elosztott hálózatok 


Nézzük, hogyan is jutnak el egyes 
hálózatok a központi azonosítási rend- 
szerből a korszerű elosztott hálózatok 
kialakításához. 

Azonosítási infrastruktúra kialakítása: 

Az első lépcsőben a vállalati intra- 
net működésének vizsgálatára, a lel- 
tárra és az igények felmérésére kerül 
sor. Ezután terveket dolgoznak ki a há- 
lózati azonosítás infrastrukturális fel- 
építésére. 

Azonosítási szolgáltatások: 

A tervezés eredményeként kiterjesz- 
tett intranetes hálózat már biztonságo- 
sabb és egyszerűbb hozzáférést tehet 
lehetővé a felhasználók számára. A 
megoldással nő az ügyfelek elégedett- 
sége, mert gyorsabban, egyszerűbben 
és biztonságosabban vehetnek igény- 
be meglévő és új szolgáltatásokat. A 
rendszer szolgáltatásait ekkor már kül- 
ső partnerek is igénybe vehetik, akik 
rákapcsolódnak a zárt hálózatra. 

Elosztott internetes hálózat kialakítá- 
sa: 

A meglévő zárt intranetes szolgálta- 
tást kiterjesztik az internetre is. Az el- 
osztás azonosítást nem egy, hanem 
egyszerre több cég szerverei látják el, 


a késés miatt nem áll többé rendelkezésé- 
re, és a cégével kapcsolatban álló autóköl- 
csönző nem tud másik autóval szolgálni. 
Mr. Smith vagy Kovács úr a késés miatt 
fontos üzleti tárgyalástól esik el. 

A Liberty. Alliance lényege éppen az 
előbbi probléma elhárításában rejlik: a 
szabványt alkalmazó egyes szolgáltatók 
állandó kapcsolatban állnak egymással, és 
ilyen esetben automatikusan értesítik egy- 
mást. Ha a felhasználó úgy dönt, hogy két 
szolgáltatást össze kíván kapcsolni — ese- 
tünkben a repülőjegy foglalást és az autó- 
kölcsönzést —, akkor a két, különben telje- 
sen különálló rendszer egy rendszerként 
kezd működni. 

A Liberty létrejöttét, mint a fenti példa is 
megvilágítja, inkább üzleti szempontoknak 
köszönheti. Láthatjuk, hogy a mára már 
mintegy 150 nagyvállalat által támogatott 
szabvány elterjedése igen nagy jövő áll, hi- 
szen az azonosítási procedúra jelentős le- 
egyszerűsítésén túl az új partnerek vagy há- 
lózatok bekapcsolása a meglévő szolgálta- 
tási infrastruktúrába minden egyes résztvevő 
elemi érdeke. Kemény László 


un cnmanta ra EN 


ektronikus aláírás 


inta, pecsét, aláírás 


Dédapáink, nagyapáink, ha adásvételre került a sor, vették a 


kalapjukat, és elsétáltak a jegyzőhöz. Ott illő tisztelettel elő- 


adták mondandójukat, a jegyző pedig tintába mártogatott 


tollal elkészítette a szerződést, amelynek az aljára őseink és 


a tanúik odakanyarították a kézjegyüket. Az utóbbi száz év- 


ben vajmi kevés változott: a kézjegy, a papír maradt, csak a 


tintatartó és a kalap tűnt el. 


Tr 

vek óta várjuk, hogy elérkezik a pa- 
E- nélküli irodák kora, de a papír- 

gyárak a megmondhatói, hogy az 
irodai papírfogyasztás nemhogy csökkent 
volna, inkább nőtt az irodai számítástech- 
nika terjedésével. Ha előbb-utóbb még- 
sem kell majd minden hivatalos ügyet sze- 
mélyesen intéznünk, tanúk előtt, saját ke- 
zű aláírásunkkal igazolva, hogy az iratot 


Fokozott biztonság 


Számos, itteni leányvállalattal ren- 
delkező multinacionális cégnél műkö- 
dik saját használatú belső tanúsítvány- 
rendszer, amely az alkalmazottak belső 
és külső levelezését, illetve a cég állan- 
dó partnereivel folytatott üzleti ügyek — 
megrendelések, számlák stb. — tanúsí- 
tását szolgálja. Ám ezek a vállalatok 
közül is több érdeklődik megbízható 
harmadik fél — azaz csúcshitelesítő — 
szolgáltatásai iránt. Az elektronikus 
adóbevalláshoz és elektronikus szám- 
lázáshoz ugyanis a pénzügyi jogsza- 
bályok értelmében minősített aláírásra 
van szükség. Az első minősített 
hitelesítésszolgáltató Magyarországon 
a NetLock Kft., amely nemrég kapta 
meg az idevágó jogosítványokat. Foko- 
zott biztonságú tanúsítványokat öt ha- 
zai szolgáltató bocsáthat ki: a Giro At., 
a Matáv Rt., a MÁV Informatika Kft., a 
Microsec Kft. és a már említett 
NetLock Kft. Ez utóbbi eddig körülbelül 
százezer tanúsítványt bocsátott ki. 
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Az Eracom CSA8000 adaptere mindenben 
megfelel a minősített hitelesítés-szolgálta- 
tás követelményeinek 


elolvastuk, annak tartalmával egyetértünk, 
az csakis az elektronikus aláírási rendszer- 
nek lesz köszönhető. 

Ugye az már nemcsak a gyerekeink szá- 
mára természetes, hogy telefonon rendelje- 
nek pizzát vagy mozijegyet, fizetni pedig 
ráérnek a mozipénztárban, illetve a pizza- 
futárnál? (A ,jobbak" már az interneten né- 
zik meg a moziműsort, és pizzát sem tele- 
fonon, hanem a netpincéreknél rendelnek.) 
Ám a vérbeli" netezők sem boldogulnak 
minden ügyes-bajos dolgukkal online. Ve- 
gyük például a következő esetet! Valame- 
lyik internetszolgáltató előfizetőiként van 
egy ,rendes" postafiókunk, amelyik vígan 
betölti a szerepét mindaddig, amíg csak a 
család egyik tagja használja levelezésre. A 
gyerekek azonban nőnek... Minthogy a 
csomag négy postafiókra ad lehetőséget, 
nosza, kérjük el a többi hármat is! A kére- 
lem benyújtható telefonon és e-mailben 
egyaránt, az előfizető-azonosító szám, a 
bejelentkezési azonosító és a titkos belépé- 


si kód megadásával, az új postafiók jelsza- 
vát azonban faxon küldi el a szolgáltató. 

Az egyszerűség kedvéért maradjunk 
annyiban, hogy az e-mailben megadott in- 
formációk nem kerülnek rossz kezekbe, 
csakis az ISP ügyfélszolgálatához jutnak 
el. Ott a kérést iktatják, intézkednek, és 
hamarosan megérkezik a jelszó — faxon. 
Persze érkezhetne e-mailben is, de a biz- 
tonság kulcsa ezúttal a fax: nehezebb röp- 
tében lehallgatni. A másik lehetőségbe — 
hogy az e-mailes üzenetváltást elcsípi va- 
laki — rossz belegondolni. 


Védett levelek 


Vajon hányan tartanak otthon faxkészülé- 
ket? A szolgáltató nem kockáztat. Mi igen. 
Igaz, hogy az e-mail alján szereplő aláírást 
is elektronikus aláírásnak nevezik, de az 
nem bizonyítja sem azt, hogy a levelet való- 
ban a postafiók előfizetője írta, sem azt, 
hogy abba más nem kontárkodhatott bele. 
Hogyan lehetne mellőzni a jó öreg faxot? 

A nyilvános hálózaton úgy lehet szava- 
tolni a felek személyazonosságát, valamint 
az adatok sértetlenségét, ha a küldemé- 
nyeket digitális pecséttel, hitelességigazoló 
tanúsítvánnyal látják el. Példánknál ma- 
radva tehát az internetszolgáltató és ügyfe- 
e akkor rendezheti az érzékeny levélvál- 


A NetLock székháza - egyedüliként a ma- 
gyar piacon 


Adatbiztonság 


tást online, ha mindkét fél rendelkezik 
ilyen tanúsítvánnyal. Ezt a tanúsítványt ter- 
mészetesen független, hiteles szervezetnek 
- a hitelesítő hatóságnak vagy hitelesítési 
szolgáltatónak — kell kiállítania. 

A legelterjedtebb megoldás a nyilvános 
kulcson alapul. Ez esetben a kulcs egyik 
fele a feladónál van, azt elvileg csak ő 
használhatja, a másik, nyilvános kulccsal 
viszont a címzettnek kell ellenőriznie az 
üzenet hitelességét. Egyezés esetén biztos 
lehet abban, hogy a levelet (megrendelést, 
számlát, adóbevallást stb.-t) valóban a fel- 
adó küldte. A nyilvános kulcs tanúsítvány 
ugyanis a nyilvános kulcs tulajdonosának 
azonosítására szolgáló adatokból (név, or- 
szágkód, város stb.), a hitelesítő hatóságot 
azonosító adatokból és magából a nyilvá- 
nos kulcsból áll, de tartalmazza a tanúsít- 
vány lejárati idejét, típusát is. Hitelessége 
annak köszönhető, hogy a kibocsátó hite- 
les szervezet titkos kulcsával is alá van ír- 
va, ezért az ellenőrzés során történő felfe- 
dés nélkül nem változtatható meg. 


Aláírásgyár 

Hogyan készül az elektronikus aláírás? 
A feladat látszólag egyszerű: a dokumen- 
tumról hash algoritmus segítségével fix 
hosszúságú, 128 vagy 160 bites lenyoma- 
tot állítunk elő, majd a privát kulcs a le- 
nyomat kódolásával generálja az eredeti 
szöveghez és annak előállítójához, ponto- 


sabban privát kulcsához tartozó elektroni- 
kus aláírást. 


A Tanúsítvány-varázsló lépésről-lépésre 
végigvezet a regisztráció, a bejelentkezés, 
a kulcsgenerálás és a belépési nyilatkozat 
készítésének folyamatán 


A fogadó oldalán ennek a fordítottja 
megy végbe: az elektronikus aláírás ellen- 
őrzéséhez szükség van az eredeti szöveg- 
re, az aláírásra, az aláírás-ellenőrző algo- 
ritmusra, az aláírás készítéséhez használt 
privát kulcs nyilvános párjára, illetve a ta- 
núsítványra és a hash algoritmusra. Az alá- 


Adathiztaneán 


Az elektronikus aláírás kisszótára 


Elektronikus aláírás 

Elektronikus . adatok hitelesítésére 
szolgáló, matematikai algoritmussal ké- 
szített, s az elektronikus üzenetek, do- 
kumentumok végéhez csatolt kódsoro- 
zat. Lehetővé teszi, hogy minden elekt- 
ronikusan aláírt üzenet olvasója ellen- 
őrizni tudja az üzenetküldő személyazo- 
nosságát, az üzenet sértetlenségét. A 
küldő magánkulcsával készül, és annak 
nyilvános kulcsával (illetve az azt tartal- 
mazó tanúsítványával) lehet ellenőrizni 
hitelességét. Dokumentumfüggő, azaz 
az aláírt üzeneten történt bármilyen vál- 
tozás ténye az ellenőrzéskor egyértel- 
műen kiderül. 


Fokozott biztonságú elektronikus alá- 
írás 

Olyan elektronikus aláírás, amely al- 
kalmas az aláíró azonosítására, és egye- 
dülállóan hozzá köthető; olyan eszköz- 
zel hozták létre, amely kizárólag az alá- 
író befolyása alatt áll; a dokumentum 
tartalmához olyan módon kapcsolódik, 
hogy minden -— az aláírás elhelyezését 
követően az iraton, illetve dokumentu- 
mon tett — módosítás érzékelhető. A fo- 
kozott biztonságú aláírás az aláíró fél fo- 
kozott biztonságú tanúsítványával ellen- 
őrizhető. Ilyen igazolásokat az aláíró fél- 
nek fokozott biztonságú hitelesítés- 
szolgáltatók állíthatnak ki. A fokozott 
biztonságú aláírással ellátott elektroni- 
kus irat a magyar jog szerint írásbeli do- 
kumentumnak számít. 


Időbélyegző 

Elektronikus irathoz, illetve dokumen- 
tumhoz az időbélyegző-szolgáltató által 
csatolt, a bélyegzés időpontját is tartal- 
mazó elektronikus aláírás. Feladata bizo- 


írás segítségével állapítható meg a küldő 
személyazonossága. Az aláírásban lévő 
hash, illetve az üzenetből készíthető le- 
nyomat összehasonlítható. Amennyiben a 
két lenyomat megegyezik, biztosak lehe- 
tünk abban, hogy a szöveg az elektronikus 
aláírás óta nem változott. 

Amennyiben hivatali és pénzügyeinket is 
a világhálón intézzük, szükségünk lesz fo- 
kozott biztonságú elektronikus aláírásra, ha 
pedig teljes bizonyító erejű aláírásra volna 
szükségünk, amilyen a két tanú előtt kézje- 
gyünkkel ellátott irat, minősített tanúsítványt 
kell szereznünk. A magyar törvények értel- 


nyítani, hogy az adott elektronikus doku- 
mentum a bélyegzés időpontjában már 
létezett. 


Minősített elektronikus aláírás 

Olyan elektronikus aláírás, amelynek 
létrehozásakor az aláíró fél biztonságos 
aláírás-létrehozó eszközt használt, és hi- 
telesítése céljából minősített tanúsít- 
ványt bocsátottak ki az aláírónak. Ilyen 
igazolást az aláíró félnek minősített 
hitelesítésszolgáltatók állíthatnak ki. A 
minősített elektronikus aláírással ellá- 
tott elektronikus irat a magyar jog sze- 
rint teljes bizonyító erejű magánokirat- 
nak számít, amilyen a papír alapú világ- 
ban a két tanú előtt történő aláírással 
hozható létre. 


RSA 
Az egyik legelterjedtebb nyilvános kul- 
csos titkosító algoritmus. 


Tanúsítvány 

A hitelesítésszolgáltató által elektro- 
nikusan aláírt igazolás, amely megbont- 
hatatlanul tartalmazza a tanúsítvány tu- 
lajdonosának azonosítására szolgáló 
adatokat (pl. nevét, elektronikus címét) 
és a tulajdonos nyilvános kulcsát. Az 
elektronikus aláírások ellenőrzésekor 
használjuk. 


Visszavont tanúsítvány 

Amennyiben a felhasználó magánkul- 
csa kompromittálódik (például ellopják, 
elveszítik, a felhasználó elfelejti a jelsza- 
vát), úgy a hozzá tartozó tanúsítvány 
használatát megakadályozandó, a tanú- 
sítványt vissza kell vonni. Ezzel a tanúsít- 
vány és a visszavonás oka felkerül a visz- 
szavont tanúsítványok listájára. 


mében a minősített elektronikus aláírás 
olyan elektronikus aláírás, amelynek hitele- 
sítése céljából minősített tanúsítványt bo- 
csátottak ki. A biztonságos aláírást létrehozó 
eszköznek kell szavatolnia, hogy az aláírás 
készítéséhez — használt privát kulcs 
aláírónként más és más, továbbá titkos, nem 
rekonstruálható, az aláírás nem hamisítható. 
Vagyis a privát kulcs tárolására nem alkal- 
mas holmi öreg PC. Minősített eszközzel 
Magyarországon eddig két cég rendelkezik: 
a NetLock Kft. és a MÁV Informatika Kft. 

Az eszköz persze még nem minden: a 
minősített aláírás-hitelesítési szolgáltatás- 


kus aláírás 


hoz a sok millió forintos beruházáson, jól 
védett számítógéptermen, megbízható cél- 
hardveren kívül sokéves működési garan- 
ciákra van szükség. Például arról is gon- 
doskodni kell, hogy a szolgáltató csődje 
esetén a nála tárolt tanúsítványokat másik 
szolgáltató vegye át. A minősítést megelő- 
ző audit hónapokat vesz igénybe: az 
auditorok több száz szempont alapján 
vizsgálják meg a pályázó cég működését, 
eljárásait, eszközeit, szabályzatait és szak- 
emberhátterét. 

Közép-Európa első minősített hitelesítés- 
szolgáltatójánál, a budapesti NetLock Kft.- 


Minősített NetLock 


Az elektronikus aláírás hosszú évek- 
re visszatekintő hazai szabályozásának 
egyik legjelentősebb mérföldkövéhez 


érkeztünk nemrég: a WNetLock Kft. 
2002. november 4-én beadott minősí- 
tési eljárás lefolytatására vonatkozó 
kérelmét a Hírközlési Felügyelet sike- 
resnek minősítette, így a NetLock Kft. 
2003. március 19-tól Magyarországon 
elsőként jogosult minősített tanúsítvá- 
nyok kibocsátására. 

A NetLock Hálózatbiztonsági Kft. Ma- 
gyarország első nyilvános szolgáltatá- 
sokat végző, fokozott biztonságú hitele- 
sítés szolgáltatója. A cég szakember- 
gárdájával a szükséges eljárások beve- 
zetése és felügyelete mellett az infrast- 
ruktúra technológiai fejlesztését, hono- 
sítását és működtetését is végzi. Kis- és 
közepes vállalatok teljes nyilvános kulcs 
infrastruktúrájának (PKI) kiépítése mel- 
lett technológiája alkalmas akár orszá- 
gos méretű rendszerek kiépítésére is. 

A magyar nyilvános kulcs infrastruk- 
túra első hitelesítés szolgáltatójaként 
foglalkozik a tanúsítványok biztonsá- 
gos kommunikációban való felhaszná- 
lását végző tranzakció titkosító eszkö- 
zök telepítésével és folyamatos támo- 
gatásával, teljes, kulcsrakész rendsze- 
rek fejlesztésével, azok biztonságos 
aláíró eszközökkel (pl. intelligens kár- 
tyákkal) való kiegészítéseivel, 

A cég négy éve egyedüli közép-eu- 
rópai hitelesítés szolgáltatóként szere- 
pel a Microsoft operációs rendszerei- 
ben az ajánlott tanúsítványkiadók listá- 
ján. A Magyar Posta Rt.-vel való együtt- 
működésnek, illetve a Közjegyzői Ka- 
mara közjegyzői hálózatának köszön- 
hetően szolgáltatásai az országban 
bárhol elérhetők. 


TANÚSÍTVÁNY 


A HUNGUARD Számitástochnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft. a 
15/2001.(VIII. 27.) MeHVM rendelet alapján, mint a Magyar Köztársaság Informatikai és 
Hírközlési Miniszter 006/2002 számú kijelölési okiratával kijelölt terméktanúsító szervezet 


tanúsítja, 


hogy az 
Eracom Technologies Group, Eracom Technologies Australia, Pty. Ltd 


által clőállított és forgalmazott 


CSA8000 Adapter 


hardver verzió: G revizió, Cprov förmver verzió:1.10 


az 1. számú mellékletben résztetezett feltételrendszer teljesülése esetén 


megfelel 


minősített hitelesítés-szolgáltató által végzett 
alábbi tevékenységek biztonságos elvégzéséhez: 


Elektronikus aláírás hitelesítés szolgáltatás keretén belül: 
(Minősített) tanúsítvány aláíró kulcsok generálására, tárolására, (minősített) 
tanúsítványok aláírására, mentésére és helyreállítására; 


Időbélyegzés szolgáltatás keretén belül: 
Időbélyegző aláíró kulcsok generálására, tárolására, időbélyegző aláírására: 


Aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése szolgáltatás keretén 


belül: 


Az előfizetői (aláírói) kulcspár generálására; 


A minősített hitelesítés-szolgáltató saját informatikai rendszerének biztonságos 


működtetésén belül: 


Infrastrukturális és megbízható rendszervezérlési kulcsok generálására, tárolására és 


felhasználására. 


Jelen tanúsítvány a HUNG-TJ-001.2003. számú értékelési jelentés alapján került kindásra. 


A tanúsítványt a Netlock Kít. kérésére állítottuk kí. 


A tanüsítvány regisztrációs száma: HIUNG-T-001/2003., 
A tanúsítás kelte: 2003. január 10. 


A tanúsítvány érvényességi ideje évenkénti felülvizsgálati eljárás mellett. 2006. január 10. 
Mellékletek: feltételrendszer, követelmények, dokumentumok, összesen: 7 oldalon 


Pu, 
Tanúsítási igazgató: 


Az Eracom adapter tanúsítványa részletesen leírja az eszköz 


alkalmazhatósági körét 


A NetLock honlapján minden a tanúsítvá- 
nyokról , szól" 


nél a ProtectServer Orange CSA8000-es 
kriptográfiai adapter feladata a minősített 
tanúsítvány-aláíró kulcsok generálása, tá- 
rolása, a minősített tanúsítványok aláírása, 
mentése és helyreállítása, az időbélyegző 
aláíró kulcsok generálása, tárolása, az idő- 
bélyegző aláírása. 


Saját pecsét 


A kiemelt adózóknak tavaly már elektro- 
nikusan kellett benyújtaniuk a bevalláso- 
kat. Egy lépés a papírhegyek felszámolása 


Ügyvezető igazgató 


felé. A következő lépések 
egyikét talán éppen az ol- 
vasó teszi meg. A tanúsít- 
vány megszerezhető 
online, csak ki kell válasz- 
tani a megfelelő tanúsít- 
ványfajtát, és végig kell 
haladni a regisztrációs 
pontokon. E folyamat so- 
rán a böngésző, illetve — 
ha van - intelligens kár- 
tyánk segítségével elektro- 
nikustanúsítvány-kérelem 
készül. Végül, a kiválasz- 
tott tanúsítvány fajtájától 
függően, vagy elektroni- 
kus levéllel, vagy köz- 
jegyző előtti személyes 
megjelenéssel kell igazol- 
nunk kilétünket. A tanúsít- 
vány ezután tölthető le. 
Mint említettük, az egy- 
szerű elektronikus aláírás 
mellett még két típust kü- 
lönböztet meg a törvény: 
a fokozott biztonságú és a 
minősített . elektronikus 
aláírást. A fokozott biz- 
tonságú aláírásnak a 
NetLock Kft.-nél három 
aláírási osztálya van: exp- 
ressz (e-mailben plusz fa- 
xon szerezhető meg), üzleti (ehhez szemé- 
lyesen kell megjelenni a szolgáltatónál 
vagy valamelyik postahivatalban, s fényké- 
pes iratokkal kell igazolni a személyazo- 
nosságunkat) és közjegyzői (az igazolás 
közjegyző előtt történik). A kézzel írott 
aláíráshoz hasonló módon használható 
személyes tanúsítvány fajtától függően 
400-750 forintba kerül, míg a névjegykár- 
tyához hasonló szerepet betöltő, az illető 
beosztását is tartalmazó névjegykártyás ta- 
núsítvány, illetve a céges pecséthez fogha- 
tó szervezeti tanúsítvány nettó havi ára 
800-1500 forint. A webszerverekkel foly- 
tatott kommunikációban használható szer- 
ver tanúsítványért 1600- 2600-3000 fo- 
rintot kell fizetni, osztálytól függően. 

Előfordulhat, hogy a tanúsítványt az ér- 
vényességi idő lejárta előtt vissza kell von- 
ni, például azért, mert a magánkulcs elve- 
szett, felmerült a visszaélés gyanúja, avagy 
a kulcsbirtokos adataiban változás követ- 
kezett be. A visszavont tanúsítványok a 
szolgáltató nyilvános tanúsítvány-vissza- 
vonási listáján szerepelnek. 
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Biztonságos személyazor 


Az informatikai rendszerek biztonságának az alapja a sze- 


mélyazonosság-kezelés. A Novell biztonságos személyazo- 


nosság-kezelési megoldása a cégek számára lehetővé teszi, 


hogy alkalmazottaik, ügyfeleik és partnereik egyszerűen és 


gyorsan hozzáférjenek a munkájukhoz szükséges adatokhoz 


és alkalmazásokhoz, miközben a cég információi és erőforrá- 


sai minden részletre kiterjedően biztonságosan védettek. 


eDirectory 


A címtárak segítségével biztonságos, 
mindent átfogó, egyszerűen használható 
hálózatot építhetünk ki. A címtár alapú 
struktúra egyik nagy előnye, hogy az ösz- 
szes hálózati erőforrás (adatok, alkalmazá- 
sok, nyomtatók, internet stb.) mindenki 
számára könnyen elérhető, és a felhaszná- 
lóknak nem kell azzal törődniük, hogy hol 
is vannak a szükséges erőforrások, vagy 
hogy azok éppen szabadok-e. Mindez lát- 
hatatlan lesz számukra, egyben sokkal át- 
láthatóbb lesz a rendszergazdák számára, 
így az egész rendszer sokkal könnyebben 
menedzselhetővé és biztonságosabbá vá- 
lik. A címtár alapú rendszerek legnagyobb 
előnye az, hogy egyre több alkalmazást, 
funkciót, illetve szolgáltatást tudunk erre 
ráépítve viszonylag könnyen bevezetni, és 
így hálózatunk egyre intelligensebbé válik. 

A Novell címtárszolgáltatása, az eDirec- 


Platformfüggetlenség 


Az eDirectory több platformot támo- 
gat, mint bármely más címtárszolgálta- 
tás, hiszen az alábbi operációs rendsze- 
reken használható: 

e IBM AIX 

e Linux 

e Microsoft Windows NT 4.0 

e Microsoft Windows 2000 Server, 
Advanced Server 

e Novell NetWare 5.x és 6 

e Sun Solaris. 


.computerpanorama.hu 
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A Novell Nterprise integráltan tartalmazza a címtár-alapú és 
platform-független hálózati szolgáltatásokat 


tory (korábban NDS) egy skálázható, biz- 
tonságos, kiforrott, többplatformos eszköz, 
amelynek használatával egységes informa- 
tikai infrastruktúrát tudunk kialakítani. 


Egységes jogosultság- 
kezelés 


Az eDirectory-t telepítve nincs többé 
szükség arra, hogy a programok bonyolult 
algoritmusokkal, külön jelszavakkal ellen- 
őrizzék a hozzájuk forduló felhasználó jogo- 
sultságát. Elegendő, ha a címtárhoz fordul- 
nak információért. Különösen előnyös ez a 
megoldás a belső vállalati információs rend- 
szerben, mert egyfelől a felhasználót nem 
terheli felesleges adatokkal (nem kóborolnak 
sajtcédulák a számítógépek körül bejelent- 
kezési azonosítókkal, jelszavakkal), másfelől 


N Cimtáralapú és platformfüggetlen hálózati 
infrastruktúra szolgáltatások - Novell Nterprise 


egy központi adatbázisban áttekinthetően 
mutatja meg, ki mihez férhet hozzá, s mihez 
nem. Erre a nyilvántartásra ráépíthető a fo- 
lyamatos követés is, s rögzíthető, kiről mikor 
melyik program kért a címtárból adatot, az- 
az ki mikor mivel dolgozott. 


Rugalmas és skálázható 
felépítés 

Az eDirectory mögött álló hierarchikus 
adatbázis rugalmas és skálázható. Rugal- 
mas, mert ráilleszthető a vállalat működési 
modelljére. A cég a fizikailag más-más he- 
lyen található egységeit 
ugyanúgy képes leírni, 
mint a vállalat különböző 
osztályait, munkacsoport- 
jait. A címtár skálázható is, 
mert az egyszerveres, öt 
munkahelyes vállalati há- 
lózat adatait éppen úgy 
tudja kezelni, mint a mul- 
tinacionális nagyvállalatok 
több száz irodájának és 
gyárának összes erőforrá- 
sát és a hozzájuk kapcso- 
lódó információkat. 


Novell 
Biztonsági 
szolgáltatások 


A teljes vállalatot átfogó 
hálózat esetén a menedzselhetőség mellett 
a biztonság a legfontosabb kérdés. Az 
eDirectory alapú rendszerek biztonságára 
utaló legjellemzőbb tény az, hogy az 
eDirectory-ra épülő és a rendszer bizton- 
sági funkcióit használó hálózatokkal kap- 
csolatban semmilyen betörési módot nem 
sikerült még kidolgozni, pedig a Novell 
címtárszolgáltatása, mint technológia már 
tíz éve a piacon van. 

Az eDirectory esetében minden jogo- 
sultság, így a felügyeleti jogok is finoman 
szabályozhatók. Könnyen kialakíthatók 
különböző üzemeltetési funkciók, és min- 
den rendszergazda csak azokhoz a beállí- 
tásokhoz férhet hozzá, amelyekre szüksé- 
ge van a munkájában. 

Az eDirectory a Novell Modular 
Authentication Services (NMAS) Standard 
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)sság-kezelés 


Edition változatát is tartalmazza, fejlett jel- 
szókezelési funkciókkal és a tanúsítvány 
alapú bejelentkezés támogatásával. Az 
eDirectory másik fontos biztonsági kom- 
ponense a NICI (Novell International 
Cryptographic Infrastructure). 

A NICI úgy segíti elő a globális hálózat 
kialakítását, hogy nem kell aggódni a helyi 
titkosítási törvények miatt. A NICI modulá- 
ris megközelítése miatt a titkosítás erőssé- 
gét, vagy akár az alapját adó algoritmust 
egyszerűen módosíthatja a Novell vagy 
más szoftverfejlesztő cég. Bármilyen alkal- 
mazás használhatja a NICI által nyújtott tit- 
kosítási szolgáltatásokat egy megfelelő csa- 
toló segítségével, és a NICI 
moduláris architektúrája a 
törvények vagy a követel- 
mények változásának 
megfelelően módosítható, 
az ezt használó alkalma- 
zás módosítása nélkül. 


SecureLogin 


A Novell SecureLogin 
megoldása számos biz- 
tonsági rendszer integrá- 
lásával kínál egypontos 
bejelentkezést a hálózat 
legkülönbözőbb erőforrá- 
saihoz és alkalmazásai- 
hoz. A megoldás segítsé- 
gével kialakítható az egypontos beléptetési 
rendszer, növelhető a biztonság, továbbá 
megvalósíthatók és alkalmazhatók a válla- 
lat különböző biztonságpolitikai előírásai. 


Nsure 


Egyszerűbb 


jelszóhasználat 


Napjainkban a legtöbb vállalatnak és 
szervezetnek egy alapvető biztonsági prob- 
lémával kell megküzdeniük: a különféle al- 
kalmazások és rendszerek mind saját azo- 
nosítóval és jelszóval rendelkeznek, arra 
kötelezve ezáltal a felhasználókat, hogy 
nagyszámú információt tartsanak fejben. Ez 
a probléma a jövőben még mélyülhet is, az 
internetes alkalmazások gyors elterjedésé- 
vel. Mivel a technológia villámgyorsan fej- 
lődik, az újabb és újabb alkalmazások jel- 
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N Címtáralapú személyazonosság-kezelés és integrált 
biztonsági megoldáscsomag - Novell Nsure 


szavainak ismerete egyre nagyobb terhet ró 
a felhasználókra, és nem várható el tőlük, 
hogy valamennyit meg tudják jegyezni. 

Mivel a felhasználó egy idő után a kü- 
lönféle alkalmazásokhoz és rendszerekhez 
tartozó adatokat nem tudja megjegyezni, 
biztonságosnak egyáltalán nem mondható 
megoldásokhoz folyamodik: kiragasztja a 
jelszavát a monitorra, elmenti a bejelent- 
kezéshez szükséges adatait egy szöveges 
állományba, vagy éppen ugyanazt a köny- 
nyen megjegyezhető jelszót használja 
minden rendszerében. 

A Novell SecureLogin használatával a 
felhasználók — biztonságosan, egyetlen 


Novell 


A biztonságos személyazonosság-kezelés eszköze a Novell 


eDirectory-jelszón . keresztül férhetnek 
hozzá valamennyi hálózati alkalmazáshoz 
— függetlenül attól, hogy ezek az alkalma- 
zások milyen platformon futnak, és hol tá- 
rolják a felhasználói azonosítókat és jel- 
szavakat. A Novell SecureLoginnel a teljes 
hitelesítési folyamat láthatatlanná, ugyan- 
akkor sokkal hatékonyabbá válik. 


A SecureLogin működése 


A SecureLogin a bejelentkezéshez szük- 
séges adatokat vagy közvetlenül egy tet- 
szőleges LDAP címtárban vagy a Secret 
Store technológiával megerősített Novell 
eDirectory-ban tárolja. Futás közben auto- 
matikusan észreveszi a bejelentkezésre 
vagy azonosításra szolgáló felületeket, 
majd kikeresi és megadja az authenti- 


Támogatott alkalmazások 


A Novell SecureLogin jól integrálható 
a vállalatoknál meglévő különféle alkal- 
mazásokkal. A termék többek között az 
alábbi program típusokat támogatja: 

e 32 bites Windows-os alkalmazások 

e Terminálszerveres környezetek (pl. 
Microsoft Windows 2000 Terminal 
Services) 

e E-mail programok (Novell GroupWise, 
Lotus Notes, MS Outlook stb.) 

e IBM nagygépes alkalmazások 

e Unixos alkalmazások 

e Több mint 30-féle terminálemulátor 

e Webes alkalmazások 

e Közel 100 alkalmazáshoz biztosít elő- 
készített beléptető scripteket 

e Varázslók új alkalmazások integrálá- 
sához. 3 


kációhoz szükséges adatokat. A Secure- 
Login script-nyelve a termék lényeges 
komponense. Az egypontos beléptetés tá- 
mogatására fejlesztett speciális nyelv jó- 
voltából a termék közel valamennyi háló- 
zati környezetben és alkalmazással hasz- 
nálható. Az egyszerűen megtanulható 
programozási nyelvnek köszönhetően a 
beléptető környezet könnyen implemen- 
tálható és módosítható, illeszkedve a gyor- 
san változó vállalati környezethez. 

A SecureLogin segítségével központilag 
határozhatjuk meg azt is, hogy mely alkal- 
mazások kerüljenek be az egypontos beje- 
lentkezésbe, és melyek legyenek azok, 
amelyek továbbra is azonosítót és jelszót 
kérnek a felhasználótól. Az olyan alkalma- 
zások esetében, amelyeknél időről-időre 
jelszót kell változtatni, központilag meg- 
határozható, hogy a SecureLogin a háttér- 
ben változtassa-e meg a jelszavakat auto- 
matikusan, amikor erre szükség van, vagy 
a felhasználót kérje meg új jelszó megadá- 
sára. Jelszó-irányelvek megadásával pedig 
az adminisztrátorok a különböző alkalma- 
zásokhoz használt jelszavak bonyolultsá- 
gát is szabályozhatják. 

A SecureLogin minden működési adatát 
az LDAP címtárban, illetve — titkosítva — a 
kliens gyorsítótárában (a cache-ben) tárol- 
ja. Ezeknek az adatoknak a központi fel- 
ügyelete a címtárban oldható meg, még- 
pedig a Novell eDirectory alkalmazása 
esetén a Java-alapú Novell ConsoleOne 
termékkel, egyéb címtár használata esetén 
a címtárhoz adott felügyeleti eszközzel. 

-f 


munkaállomásokat, otthoni gépe- 
A: védő szoftveres tűzfalak nem 
zámítanak már újdonságnak az 
ingyenesen vagy dobozosan elérhető 
szoftverkínálatban. Az egykor jó csengésű 
AtGuard shareware terjesztésű személyes 
tűzfalként élte meg a 3.22-es verziószá- 
mot, amikor is a jól paraméterezhető prog- 
ramot megvásárolta a Symantec, és most 
annak termékeiben él tovább. A Symantec 
dobozos termékei közül a kisebb cégek, 
otthoni irodák és ,szabadidős" számítógé- 
pek számára a Norton Internet Security 
2003, míg a nagyobb hálózatok munkaál- 
lomásainak integrált biztonságának megte- 
remtésére a Symantec Client Security cso- 
mag telepítése szolgáltatja a védelmet. 
Ezek közül a Norton Internet Security 
modulként tartalmazza a Norton Personal 
Firewall 2003 személyes tűzfalat, s a do- 
bozban megtalálható még a Norton 
Antivirus legújabb, 2003-as verziója is. Az 
utóbbi lényeges kiegészítő eleme a gép vé- 
delmének, beleértve a levelekben terjedő 
kártevők elleni védelmet is. Az említett 
programok önálló modulként képesek in- 
tegrálódni a Symantec Windows-os gépek- 
re fejlesztett karbantartócsomagjánál, a 
Norton SystemWorks-nél megszokott ke- 
retrendszerbe, mely utóbbi csomag szin- 
tén elérte a 2003-as verziószámot. 


Telepítésekor az extra komponenseket is 
felvehetjük a rendszerbe 


A személyes tűzfal legújabb változatá- 
ban kivétel nélkül megtaláljuk a korábban 
megszokott biztonsági elemeket. Így pél- 
dául azt is, amely az internetes kapcsola- 
tok egyik leglényegesebb pontján őrködik, 
a kapcsolat felépítésének ellenőrzésével. A 
NPF ugyanis — a tűzfalakra jellemző sza- 
bályrendszeren alapulva — minden új há- 
lózati kapcsolat kialakulásakor ellenőrzi a 
tűzfalszabályok listáját, s ennek alapján el- 
dönti, hogy az adott kapcsolat engedé- 
lyezhető-e, netán meg kell akadályozni. 
Ez egyben azt is jelenti, hogy az illetékte- 


Dobozba zá 
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A Windows operációs rendszer — miközben igen elterjedt a 


munkaállomásokon és az otthoni gépeken - meglehetősen 


védtelen a rosszindulatú vírusos, illetve hálózatos támadá- 


sokkal szemben. A fenyegető veszélyek közepette hatékony 


védelmet kínálnak a Symantec biztonsági csomagjai, a 


Norton Internet Security és a Symantec Client Security. 


len kapcsolatoktól való védettség mindkét 
irányban megoldott. 

A tűzfalszabályok megalkotását több té- 
nyező segíti. Ezek egyikét az előrekonfi- 
gurált biztonsági szintek alkotják. A másik 
jelentős segítség az önműködő tűzfalsza- 
bály-létrehozás, ami azt jelenti, hogy a 
legtöbb széles körben használt és az 
interneten jogosan közlekedő alkalmazás 
számára a NPF automatikusan kialakítja a 
szóban forgó alkalmazásra szabott és an- 
nak működéséhez szükséges tűzfalszabá- 
lyokat. Ugyanakkor az egyedi tűzfal-sza- 
bályrendszer kialakítása is megoldható, 
amelyet külön varázsló támogat. Ezzel az 
elsősorban némi hálózati ismeretekkel 
rendelkezőknek szánt lehetőséggel a há- 
lókapcsolati irányok, a kapcsolati proto- 
kollok (TCP, UDP, ICMP), a kapcsolódó 
alkalmazások, valamint a kapcsolati ka- 
puk (portok) szerinti hangolást oldhatjuk 
meg. 

A számítógépek közötti kapcsolat ellen- 
őrzésére különféle zónák alakíthatók ki, és 
a Norton Personal Firewall által védett szá- 
mitógéppel való kapcsolatok tekintetében 
akár tiltott zóna is kialakítható. Az otthoni 
hálózat kezelését, illetve felismerését külön 
varázsló, a Home Network Wizard támo- 
gatja, és ez segít abban is, hogy a saját gé- 
peket a megbízható zónához rendelhessük. 

Ami a külső próbálkozásokat illeti, eb- 
ben jelentős segítségünkre lehet a portok 
vizslatásának automatikus felismerése. Így 
abban az esetben, ha valaki kívülről pró- 


A telepítést követő első induláskor varázs- 
ló gondoskodik a helyi beállításokról 


bálja megtalálni a rendszer sérülékenysé- 
geit, az AutoBlock funkció önműködően 
megakadályozza a rendszerhez való hoz- 
záférését. Működésekor az AutoBlock ön- 
helyesbítést idéz elő a tűzfal működésé- 
ben, és a támadó IP-címével fél óráig min- 
den kapcsolatot megakadályoz. 

A behatolások védelmével kapcsolatban 
további védelmi rétegként az internetes 
forgalom tartalmának vizsgálata is bekerült 
a kínálatba: az NPF felismeri az olyan 
nethasználó támadókat, mint amilyen a 
méltán elhíresült CodeRed is volt, és ame- 
lyik nem maradt sajnos követők nélkül. 
Behatolás gyanúja esetén ebben az eset- 
ben is a további adatforgalom megakadá- 
lyozása a legjobb védekezés. 

Az illetéktelen behatolások megakadá- 
lyozásán kívül az NPF a digitális magán- 
életet is védi, így például kirekeszti a 
sütiket. Ezek kiszűrése egyébként webhe- 
lyenként beállítható, ami azt is jelenti, 
hogy az említett webhelyek nem követhe- 
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tik nyomon a böngészési szokásokat. A 
magánélet védelmének továbbfejlesztett 
lehetőségeként a bizalmas információ ki- 
jutását a szabványos POP3-as levelező- 
prográmok, a Microsoft Office csatolmá- 
nyok, az MSN Messenger, a Windows 
Messenger és az AOL Instant Messenger 
esetében is megakadályozza. 

Több védelmi, illetve olykor kényelmi- 
nek tekinthető szolgáltatás a böngészéssel 
kapcsolatos. A szülők például továbbra is 
megtilthatják  csemetéiknek — bizonyos 
weboldalak látogatását, a napi munkában 
pedig jó szolgálatot tesz a felugráló abla- 
kok kiszűrése. Ezeknek az opcióknak a 
rendszerbe iktatásáról a programcsomag 


A beállítópanelen figyelmeztetést kapunk a 
kikapcsolt funkciókról 


telepítésekor intézkedhetünk. 

A hálózati munkaállomások, illetve a 
vállalati rendszerbe távolról, virtuális ma- 
gánhálózati (VPN) kapcsolaton keresztül 
bejelentkező asztali rendszert természete- 
sen azokkal az egyedi eszközökkel is meg- 
védhetjük, melyek általában is alkalmasak 
az otthoni gépek, illetve az izolált munka- 
helyek megvédésre. Egy központilag fel- 
ügyelt rendszerben azonban még akkor is 
hátrányosak lehetnek az izolált megoldá- 
sok, ha azokat egy gyártótól szereztük be. 
Mert minél nagyobb egy hálózat, annál 
körülményesebb az egyes gépeken elvé- 
gezni a telepítéseket, nem is szólva a fo- 
lyamatos karbantartásról. A biztonsági 
rendszerek esetében ugyanakkor a napra, 
vagy rázósabb helyzetben akár órára ké- 
szen tartás különösen lényeges, aminek az 
illusztrálására elegendő az órák, napok 
alatt a földkerekség gépszázezreit fertőző 
vírusjárványokra gondolnunk. 

A céges rendszerek munkaállomásainak 
központilag felügyelhető megóvására szol- 
gál a Symantec Client Security. A VPN- 
kapcsolatok megvédésére ugyancsak al- 
kalmazható csomag integráltan nyújt ví- 
rusvédelmet, személyi tűzfalat és behato- 
lás-érzékelést (ID5), ami a rejtettebb fenye- 
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getések ellen is hatékony segítséget jelent. 
Márpedig a nagyobb rendszerek esetében 
erre azért is szükség van, mert itt elég lehet 
egy-egy munkaállomás áldozattá válása 
ahhoz, hogy onnan kiindulva az egész 
rendszer összeomoljon, vagy támadhatóvá 
váljon. 

A felhasználó, amikor a Symantec Client 
Security telepítését követően a gépe elé ül, 
hasonló képernyővel találja magát szem- 
ben, mint a NIS telepítését követően. A 
tűzfal tevékenységét ugyanúgy kísérhetjük 
nyomon egy kis földgömb segedelmével, 
és a tűzfallogót is hasonlóan érhetjük el. 
Ami azonban lényeges különbség, hogy 
míg a különböző zónák beállítása a szóló 
otthoni gép esetében nem létkérdés, a há- 
lózati munkaállomás esetében a rendszer- 
elérés egyik feltétele. A rossz beállítások 
hatása itt azonnali, mert a net is elérhetet- 
lenné válik. 

A Symantec Client Security telepítésekor 
felkerülő vírusvédelem is kicsit más, mint 
a szokványos, otthon megszokott NAV. 
Nem a védelem bináris képességeit tekint- 
ve, hiszen védelmi képességei természet- 
szerűen éppen úgy kiterjednek valameny- 
nyi kártevőre, hanem olyan szempontból, 
hogy a Symantec Antivirus Corporate 
Edition esetében a hálózati meghajtókat is 
végigkutathatjuk a nem éppen szívesen lá- 


Külön monitorral folyamatosan figyelem- 
mel kísérhetjük a biztonságunkat, illetve a 
Live Update-tel menet közben frissíthetjük 
a biztonsági alkalmazást 


tott vendégek után, és a levelezés ellenőr- 
zése is kézben tartható. Ugyanakkor jelen- 
tős segítség lehet a biztonságtechnikai hát- 
tér megteremtésében a behatolási kísérle- 
tek felderítése. 

A Symantec Client Firewall kezelőpa- 
neljén engedélyezhető behatolás-felderítő 
és behatoló-blokkoló funkció azt jelenti, 
hogy a hálózati forgalom nem csak szűrés- 
re, hanem elemzésre is kerül. Így a szokvá- 
nyos tűzfalfunkciók mellett egyfajta forgal- 


€ Ttyto repat en avaranbna Hunsutcosztái 


€ Denyaccess ta Me intactod e 
€ kalg me wátto do 


A Norton Antivirus funkcionalitását is fino- 
man hangolhatjuk kívánságaink függvé- 
nyében 


mi minta is vizsgálhatóvá válik, ami példá- 
ul a portfürkészés leleplezésének a legegy- 
szerűbb módja. Az IDS-modul által ta- 
pasztalt mintázat összehasonlítható azzal, 
amit korábban a Symantec Security 
Response csapata azonosított. Ezeket a 
mintaállományokat a LiveUpdate, a vírus- 
adatbázishoz hasonlóan, folyamatosan 
frissíteni képes. A naprakész mintakészlet 
alapján pedig az újabb, a szimpla 
portfürkészésnél lényegesen kifinomultabb 
betörési módszerek is lefülelhetők. Az 
azonosított behatolási kísérlet nyomán az 
AutoBlock modul veszi át a támadó IP- 
címét, és 30 percre leállítja a vele folytatott 
kommunikációt. Például az ilyen , félreér- 
tések" miatt is célszerű jól beállítani a bi- 
zalmi zónákat a kliens tűzfalán. 

A rendszerszintű funkciókat az említett 
központi menedzsment infrastruktúra teszi 
elérhetővé a biztonságért felelős rendszer- 
gazda számára. Erre azért is szükség van, 
hogy a teljes rendszerben egységes bizton- 
sági szemlélet alakulhasson ki. 

Ennek az átfogó rendszernek az egyik ve- 
tülete a cég információbiztonsági szabály- 
zata, amelyet be is kell tartatni. Ehhez gon- 
doskodni kell a szükséges eszközök köz- 
ponti felügyelhetőségéről. De arról is, hogy 
a szükséges eszközök központilag ,leoszt- 
hatók" legyenek a munkaállomásokra. 

A Symantec Client Security telepítésekor 
komplett készletből választhatunk, így az 
egyetlen menedzsmentkonzolon keresztül 
a munkaállomásokon teljes egészében te- 
lepíthetők, beállíthatók és kezelhetők a 
biztonsági komponensek. A telepítendő 
egységcsomagok természetesen egyedileg 
is összeállíthatók, de támaszkodhatunk a 
gyári mintacsomagokra is. A Symantec 
Client Security telepítésekor a programüt- 
közések elkerülése végett célszerű a NAV 
és a NIS korábbi telepítéseit eltávolítani. 

Simay Endre István 


BMC Software Inc., a vállalati szin- 
A: rendszer-felügyeleti megoldások 

piacvezető szállítója továbbfej- 
lesztette felhasználói províziós megoldá- 
sát: a Control-SA ágens nélküli felügyelet- 
tel, webkonzollal, multiregionális Enter- 
prise SecurityStationnel, valamint új, nyílt 
províziós API-kkal és egy virtuális könyv- 
tárral bővült. Az újítások az eddigi sikeres 
alkalmazásokon és az ügyfelek visszajel- 
zésein alapulnak; ezeknek köszönhetően 
a Control-SA rugalmas telepítési feltétele- 
ket kínál, fokozottan bővíthető, tároló 
részlege pedig elérhető hagyományos 
LDAP hívások útján. Ezen kívül az új vál- 
tozat nyílt API-kat is kínál, amelyek által a 
Control-SA ügyfelek összekapcsolhatják a 
biztonsági felügyeletet egyéb, a munkafo- 
lyamat automatizálását szolgáló üzleti al- 
kalmazásokkal. 


ze. 


Rugalmas telepítési 


feltételek 


A Control-SA XpressAgent módszere 
egyszerű telepítési feltételeket kínál az 


Bem software - Microsoft Internet Explorer 
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Hear BMC Software President and CEO Bob 
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A BMC Software honlapja... 


Bővített felügyelet 


A BMC Software 
továbbfejlesztette 
Control-SA nevű 
províziós megol- 
dását, amelynek 
ügyfelei — a nyílt 
APl-knak köszön- 


hetően - immár 
összekapcsolhat- 


A BMC Sztware hc. INYSE BMCI a vállatati szatű rendszerfelügyelet 
Pineztő száütéja A cég ünfoln számára 


beztosja az üzleti elérhetőséget 
Besness Aradabáty) azzal, hogy részt vesz szolgáltatása proaktiv 


fököletestésében, községei csörkertésében és az üzlet, ének növelésében 


5 ABMC Sotware széleskörű megoldásai a vátalati renészerektől az sikalmazásokg 
5 adatbázaokog tegednek 


Az angol Appiaation Servce Assurincs kénpezés röndtése után ASA-ra keresztet 
uztosíják bagy az Önök remészere mad szemmejen b adata 
Önnek szoksége van 


ják a biztonsági 
felügyeletet a munkafolya- 
mat automatizálását szolgáló 


üzleti alkalmazásokkal. 
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..ÉS a magyar oldal 


ügyfeleknek. Az ágens alapú és az ágens 
nélküli felügyelet közötti választásnak kö- 
szönhetően az ügyfelek optimálisan ala- 
kíthatják ki környezetüket. Míg az ágen- 
sek egyes területeken nélkülözhetetlen 


valós idejű felügyeleti lehetőségeket biz- 
tosítanak, az ágens nélküli felügyelet 
csökkenti a megvalósítás és a karbantartás 
bonyolultságát azáltal, hogy távolról ké- 
pes nyomon követni a folyamatokat. Az 
ügyfelek igényeik szerint válogathatnak e 
technológiák közül, és vegyesen alkal- 
mazhatják őket. Az alkalmazást tovább 
egyszerűsíti az új webalapú biztonsági 
konzol, a  Control-SA/Web  Console, 
amely gyorsítja a biztonsági adminisztrá- 
torok munkáját, böngésző jellegének kö- 
szönhetően pedig minimalizálja a szüksé- 
ges betanítást. 


Páratlan bővíthetőség 


Mivel a Multi-Region Enterprise Secu- 
rityStation a nagyobb globális vállalatok 
igényeit célozza meg, különböző földrajzi 
területekre és régiókra kiterjedően valósít 
meg biztonsági felügyeletet. Ez lehetővé 
teszi, hogy a különböző régiók a saját he- 
lyi szabályozásuknak megfelelően fel- 


Control-SA a bankban 


A Kereskedelmi és Hitelbank Rt. (KHB) 
nagy számú és rendkívül összetett alkal- 
mazói rendszert működtet, melyeknek 
folyamatosan meg kell felelniük banki és 
informatikai biztonsági előírásoknak. A 
feladat jelentékeny részét képezi (és en- 
nek megfelelően komoly emberi erőfor- 
rásokat igényel) a felhasználói jogosult- 
ságok kiosztása, ellenőrzése. A KHB a ki- 
alakult helyzet értékelését követően e fo- 
Iyamatok erőteljes központosítása és 
egy igényeik szerint felépített jogosult- 
ság-kezelő rendszer bevezetése mellett 
döntött. 

A bank 2002. évi meghívásos pályáza- 
tára négy ajánlat érkezett, melyekből há- 
rom a BMC Control-SA szoftverre alapoz- 
ta megoldását. Az ajánlott technológiát 
tekintve a Control-SA banki környezetbe 
történő illeszthetősége, már rendelke- 
zésre álló kiterjedt alkalmazás-integráci- 
ós lehetőségei és továbbfejleszthetősé- 
ge bizonyult meghatározó jelentőségű- 
nek. Az értékelés szerint az azonos tech- 


ügyeljék a biztonságukat, ugyanakkor a 
központi konzol gondoskodik arról, hogy 
az információk összehangoltan jussanak el 
az ügyfelekhez, akik így átfogó képet kap- 
nak a rendszerükről. Minden terület kizá- 
rólag a saját adatait kezeli, aminek kö- 
szönhetően a rendszer jóformán határtala- 
nul bővíthető. A Multi-Region Enterprise 
SecurityStation . alkalmazásának néhány 
további előnye: 
s Jelszavak régiókon átnyúló összehango- 
lása 
e Biztosítja az adatok sértetlenségét, ami- 
hez a központi konzol szolgál háttértár- 
ként 
s A Central Console távoli háttértárként 
funkcionál. 


LDAP interfész 


A Control-SA fejlesztése lehetővé teszi 
az LDAP hozzáférés alkalmazását. Ezáltal 
a Control-SA tárolójában levő felhasználói 
adatokhoz LDAP parancsokkal férhetünk 
hozzá. Az LDAP kompatibilitás biztosítása 
érdekében a Radiant Logic Inc., a könyv- 
társzoftverek piacvezető szállítója Radiant- 
One Virtual Directory Server termékét kap- 
csolták össze a Control-SA-val. 

A BMC Software eredetikészülék-gyártó- 
ként (OEM) kínálja a RadiantOne Virtual 


nológiát kínáló cégek közül a VT-SOFT ja- 
vasolt megközelítése, tervezési, fejlesz- 
tési és implementációs szolgáltatásai és 
projekt feltételei álltak a legközelebb a 
KHB elvárásaihoz, követelményeihez, így 
a projekt megvalósítására a VT-SOFT ka- 
pott megbízást. 

A jogosultság-kezelő rendszer beveze- 
tése a tervek szerint két fázisban valósul 
meg. A 2002. novemberében megkezdő- 
dött első fázisban a decemberben már jó- 
váhagyott implementációs terv alapján a 
VT-SOFT üzembe helyezi a rendszer köz- 
ponti elemeit (Enterprise SecurityStation, 
adatbázisok), illetve a Control-SA meglé- 
vő interfészei és egy egyedileg fejlesztett 
alkalmazás segítségével felépíti a kap- 
csolatokat a bank kijelölt platformjai és 
rendszerei felé. A 2003. április végéig tar- 
tó első fázis alapvető célja, hogy a ki- 
emelt rendszerek jogosultságai központi- 
lag lekérdezhetők és beállíthatók legye- 
nek, a további rendszerek adatai pedig le- 
kérhetővé váljanak. 


A második fázisban a feladat vala- 
mennyi KHB által kijelölt alkalmazás és 
platform kétirányú elérése további BMC 
komponensek. felhasználásával, . illetve 
egyedi kapcsolati alkalmazások fejleszté- 
sével. A Control-SA a kiépítendő rend- 
szerben együttműködik a KHB SAP hu- 
mán erőforrás rendszerével és a Lotus 
Notes workflow alkalmazással is. 

A VT-SOFT a Control-SA képességeit 
egy úgynevezett historikus lekérdező 
modullal is kiterjeszti, amelynek feladata 
a pénzintézeti környezetben (is) elenged- 
hetetlen auditálhatóság támogatása: a 
rendszer így képes visszamenőleg is ki- 
mutatni, hogy kinek mely alkalmazásban 
milyen jogosultságai voltak adott idő- 
szakban. Miután a KHB informatikai 
rendszerét alkotó közel negyven alkalma- 
zást a bank közel 4 ezer munkatársa 
használja, ezért roppant lényeges a jogo- 
sultságok központi nyilvántartása, vala- 
mint a mindenkori hatósági és belső 
auditálhatóság. 


Nyílt 


NAVISTON 
INFO-KAPU 


Projett-íroda 


Ögytétszolgátat 


MGESÉTTETÉSI 


architektúra 


A BMC Software célkitű- 
zése, hogy előmozdítsa a 
nyitottságot és az inter- 
operabilitást a Control-SA 
és a munkafolyamat auto- 
matizálását szolgáló üzle- 
ti alkalmazások között, 
vállalati környezetben. 
Ennek eredményeként az 
ügyfelek, akik üzleti folya- 
mataik feltérképezésében 
alkalmazzák a munkafo- 
lyamatot, akár a BMC 
Software-ét, a sajátjukat 


A VT-SOFT a BMC egyik legfontosabb magyarországi part- 


nere 


Directory Servert minden új Control-SA 
ügyfélnek, illetve egy karbantartási kiadás 
részeként mindazoknak, akik már rendel- 
keznek e termékkel. 

Ily módon a különböző LDAP alapú al- 
kalmazások, mint például a jelentéskészí- 
tő és auditáló eszközök felhasználói ada- 
tokat szűrhetnek ki a Control-SA tárolójá- 
ból, és jelenthetik a felhasználói visszaélé- 
seket. 


vagy egyéb forrásból szár- 
mazót, nagyobb értéket 
tudnak majd termelni a 
Control-SA biztosította fo- 
kozott automatizálás és hatékonyság, vala- 
mint mérsékelt adminisztrációs költségek 
révén. 

A BMC Software a szakterület vezető 
szereplőivel együttműködve olyan ipari 
szabványok kialakításán és terjesztésén 
munkálkodik, mint például az OASIS 
Service  Provisioning Markup Language 
(SPLM). 

2) 


OPK Associates 


apjainkban a hálózatok és a szá- 
Nee használói egyre több 

fenyegetésnek vannak kitéve: a ta- 
pasztalatok szerint a világméretű hacker- 
hálózat, az ennél is rosszabb cyber- 
terroristák mellett a legtöbb galibát a felké- 
születlen, képzetlen felhasználók okoz- 
zák. Ez kétféle igényt támaszt a biztonsági 
megoldásokkal szemben: egyfelől tökéle- 
tes biztonságban akarjuk magunkat érezni 
bármilyen . informatikai fenyegetéssel 
szemben, másfelől viszont elvárjuk, hogy 
ezt a biztonságot számunkra költség- 
hatékony módon menedzseljék — fejtette 
ki az igazgató asszony. Ugyanakkor min- 
denki azt kívánja, hogy neki, végfelhasz- 
nálónak ne kelljen mindezzel törődnie, 


Stop viruses from 
attacking your PC 


A McAfee VirusScan komplett védelmet kí- 
nál mindenfajta támadással szemben 


Villámkérdések... 


...a Network Associates európai regio- 
nális igazgatójához. 


e Sokszor vádolják a számítógépek biz- 
tonságával kapcsolatban magukat az 
őröket, az ellenszert kifejlesztő cége- 
ket azzal, hogy ők írják a vírusokat, a 
károkozó kódokat is. Mi itt az igazság? 
— Ezek teljesen alaptalan pletykák, 

semmilyen valóságalapjuk nincs. A ví- 

rusírtással — foglalkozó — programozók, 
még a sokat emlegetett elbocsátottak 
is, úgy gondolkoznak, hogy még véletle- 
nül sem jut eszükbe a károkozás. Őket is 
érdekli egy-egy vírus forráskódja, de azt 
csak programozóként, mint megoldan- 
dó feladatot tudják tekinteni, nem pedig 
élvezni a károkozást. A versenytársak is 
együttműködnek: többek közt vírusmin- 
tákat cserélnek egymással. Szóval rabló- 
ból lehet pandúr, de vírusírtóból nem 
lesz vírusíró... Ugyan melyik nagy szoft- 
verfejlesztő cég engedhetné meg magá- 
nak ebben a kiélezett versenyhelyzet- 


puterpanorama.hu 


Harcban 
a vírusokkal 


A Network Associates (NAl) regionális igazgatója, Renske 


Galema asszony, februári budapesti látogatása során 


megosztotta velünk cége elképzeléseit az új hálózati 


biztonsági korszakról. Nyilatkozatából megismerhetünk 


továbbá néhány különleges védelmi 


eszközt és terméket, és bepillanthatunk a ku- 


lisszák mögé is. 


hanem végezhesse a maga dolgát. A fel- 
használók úgy gondolják, hogy elég lenne 
a védelmet csak egyszer felrakni és beállí- 
tani a gépükre, hogy aztán hadd feledkez- 
hessenek meg róla — a gép pedig kifogásta- 
lanul működjön a háttérben. 


ben, hogy jó hírét, megbízhatóságát 
akár egyetlenegy ilyen próbálkozással 
tönkretegye? - oszlatta el Aenske 
Galema az egyik legmakacsabb informa- 
tikai tévhitet. 


e Hogyan tesztelik a vírusírtó szoftvere- 
ket? 

—- A cég minőségbiztosítási részlege 
az Egyesült Királyságban van. Azonban 
itt tulajdonképpen csak koordinálják azt 
a világméretű hálózatot, amelyet a tesz- 
telők alkotnak. A szoftverek úgynevezett 
béta-verzióját nem csak angol nyelvterü- 
leten élő kiválasztott fogyasztói csopor- 
tok tesztelik egy 6 hetes időszakban 
(Magyarországon például a MOL Rt.-nek 
is van egy tesztelő csoportja a NAI-nál). 
A visszajelzéseket a fejlesztők beépítik a 
készülő termékbe. A minőségbiztosítás 
fontosságát jelzi, hogy inkább későbbre 
halasztják az új program megjelenését, 
de a tesztelés eredményét mindenkép- 
pen figyelembe veszik. 


Renske Galema, a 
Network Associates 
regionális igazgatója 


A fordulat éve 


A Network Associates szakemberei sze- 
rint az informatikai biztonság menedzselé- 
sében 2002-ben fordulat következett be, 
az úgynevezett reaktívtól a proaktív meg- 
közelítés irányába. 

Mit is jelentenek ezek a kifejezések? 

A reaktív stratégia alkalmazása esetén, 
ha megjelent egy vírus, akkor azonosítot- 
ták, majd kifejlesztették az ellenszerét, ez- 
után pedig a rendszerekbe bevitték a frissí- 
tést — és helyreállt a biztonság. Ezt a ciklust 
a vírusirtó kutatók és cégek fejlesztéseikkel 
egyre jobban felgyorsították, a vírusokat 
egyre hamarabb azonosították, a védelem 
is egyre hamarabb a helyére kerül. Közben 
azonban a vírusok terjedése is felgyorsult, 
a belső hálózatok és az internet fokozódó 
elterjedése miatt. 

Az új, proaktív stratégiában a forgalom- 
elemző szoftverek folyamatosan figyelik a 
hálózati forgalom alakulását, mintázatait 
akkor is, amikor még nincs tudomásunk 
valamely — vírus megjelenéséről. A 
behatolásjelző rendszer gyanú esetén ria- 
dót fúj, és elszigeteli a gyanús kódokat, 
amelyek nagyon sokfélék lehetnek, ártal- 
masak, de ártalmatlanok is. A rendszerért 


Adatbiztonság 


A VirusScan Professional 7.0 a McAfee 
Firewall tűzfalprogramot is magában fog- 
lalja 


felelős szakemberek ezzel időt nyernek. A 
rendszer az alatt is biztonságban van, 
amíg a vírust azonosítják, és elkészítik a 
megfelelő ellenszert. Kulcsfontosságúak 
ebben a rendszerben a sérülékenység- 
elemző eszközök. 


Miért vegyek vírusirtó 
programot? 


A kelet-európai régió helyzetéről szólva 
az igazgató asszony elmondta, hogy a 
nagyvállalati szektorban 459o-ra becsülik 
a NAI piaci részesedését, a kis- és közép- 
vállalati szektorban 2099-ra, az otthoni fel- 
használók körében pedig ennél is keve- 
sebbre. A McAfee vírusirtók ebben a kör- 
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ben is elterjedtebbek, de nagyon sokan 
használnak ingyenes próbaverziókat. A 
dobozos szoftverek piaci sikerét az azok- 
hoz kapcsolt szolgáltatásoktól (rendszeres 
online fírissítéstől, hírlevéltől, vészhelyzet- 
ben azonnali védelemtől stb.) várják. Ha- 
sonlóan előnyös, ha például az internet- 
szolgáltatókhoz telepítik a vírus-, illetve 
spamellenőrző szoftvereket: ilyenkor a fel- 
használó némi többletköltségért biztonsá- 
gosabb internet-kapcsolatot választhat a 
piacon szépen szaporodó ajánlatok közül. 

A NAI nemrég vásárolta meg a Dell Soft- 
ware nevű céget, amelynek levélszemét- 
szűrő technológiáját ezután saját terméke- 
iben is alkalmazhatja. A Spam Killer nevű 
NAI szoftver már a piacon van, és haté- 
kony védelmet jelent a kéretlen levelek le- 
töltése ellen. A Network Associates már 
megkezdte az európai régióban a helyi 
nyelvű termékek bevezetését az otthoni és 
a kisvállalati felhasználók számára. Első- 
ként, idén májusban a lengyel nyelvű 
McAfee VirusScan jelenik meg, és azt ha- 
marosan követi majd a cseh, a magyar és a 
többi verzió is. 

Mindezt a régióban tapasztalható roha- 
mos fejlődés is indokolja. A régió átlagá- 
ban évente 2590-os forgalombővülést ter- 
veznek, Magyarországon évi 189o-ot. 

F. Fülöp Hajnalka 
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A Magic Solutions termékcsomag menedzsment eszközök gazdag választékát kínálja a 


vállalatoknak 


A leggyengébb 
láncszem - az operátor 


A NAI is felismerte, hogy milyen 
nagy arányban a felhasználók a felelő- 
sek a legbosszantóbb biztonsági hibá- 
kért. A felhasználók informatikai biz- 
tonságának tudatossá tételére a NAI 
egy online akadémiát hozott létre, ahol 
biztonságos körülmények között tud- 
ják átadni a stratégiai-szemléleti tu- 
dásanyagot, amelynek végfelhasználói 
szintú alkalmazásával a legtöbb táma- 
dás, illetve adatvesztés kivédhető. Ha- 
sonló célt szolgálnak a tartalomszűrő 
szoftverek, amelyek a gyanús és ve- 
szélyes, valamint nem munkához illő 
webhelyek látogatását teszik lehetet- 
lenné. A regisztrált McAfee használók 
egyébként úgynevezett extra DAT-ot 
és/vagy super DAT-ot (azaz különleges 
vírusdefiníciós fájlt) kapnak e-mailben, 
amely részletes információt és védel- 
mi megoldást nyújt, ha bárhol a vilá- 
gon felüti a fejét egy kódolt kórokozó. 
Ekkor még van idő lezárni bizonyos 
portokat, vagy egyéb módon védekez- 
ni a kórokozók ellen. 

A kaliforniai központú Network Asso- 
ciates Inc. a hálózati biztonságtechnikai 
és hozzáférhetőségi megoldások veze- 
tó szállítója. A hálózatkezelési és biz- 
tonsági mérnöki tudás mellett a 
NAI-hez tartozik az AVERT (Anti-Virus 
Emergency Response Team) is, az a 
csapat, amely a LoveLetter, a CodeRed 
és a Nimda vírusokat is megfékezte. 

A Network Associates három meg- 
oldáscsomagot kínál. Ezek: a McAfee 
Security, amely a vírusírtó és bizton- 
ságtechnikai termékeket foglalja ma- 
gában, a Sniffer, amely a hálózati hoz- 
záférhetőség és rendszerbiztonság te- 
rületén kínál védelmet, valamint a 
Magic Solutions, amely az innovatív 
szolgáltatás-menedzsment  megoldá- 
sok piacvezető terméke. A Network 
Associates stratégiai partnerei között 
egyaránt megtaláljuk a nagy rendszer- 
integrátor cégeket, mint például Ma- 
gyarországon az /CON-t és a HP-t, va- 
lamint a kisebb, egyes területekre fó- 
kuszáló cégeket is, mint amilyen a PiK- 
SYS vagy a Schöller Network Control. 

2000 óta a Network Associates kép- 
viseleti irodát tart fenn hazánkban. 

www.networkassociates.com 

www.mcafeesecurity. com 
www.sniffer.com 


z ,ősidőkben" a programozóknak 
As nem állt rendelkezésére ba- 

rátságos felhasználói felület, a tűz- 
falak beállításához komoly rendszergazdai 
szaktudásra volt szükség. A technológia 
ráadásul sokáig elérhetetlenül drága volt. 
A trend mára megfordult. A vállalkozások 
nagy többsége -— a kisvállalkozásoktól a 
multinacionális nagyvállalatokig —  ki- 
emelkedő figyelmet fordít webes és háló- 
zati adatai védelmére, és ma már nem az a 
kérdés, hogy telepítsünk-e tűzfalat, hanem 


A Firebox hardveres tűzfalak az 1-2 gépes 
kisvállalatoktól a sokgépes nagyvállala- 
tokig hatékony védelmet nyújtanak 


az, hogy melyik cég termékét válasszuk, és 
a választott rendszer mennyire felel meg a 
hatékony vállalati védelem követelménye- 
inek. 

A megfelelő tűzfal használatakor nem 
fordulhat elő az az eset, hogy egy adott 
biztonsági hiányosság felfedezésekor a 
vállalati operációs rendszert karbantartó 
rendszergazda átháríthassa a felelősséget a 
tűzfal gyártójára és fordítva. Elfordulnak a 
vásárlók attól a gyártótól is, amely nem 
rendelkezik bővíthető termékkörrel,  hi- 
szen már egy-két év alatt is előfordulhat, 
hogy a felhasználó cég új alkalmazásokat 
telepít, új hálózatokat épít, de természete- 
sen ezért nem akarja eldobni védelmi esz- 
közeit, hanem arra törekszik, hogy jóval 
költséghatékonyabban adaptálja újdonsá- 
gait meglévő rendszerébe. 

A tűzfal fizikai része csak minőségi és 
megbízható alkatrészekből állhat annak 
érdekében, hogy állandó hibamentes, illet- 
ve lefagyásmentes védelmet nyújtson. A 
hibás tűzfal jobb esetben lezárja a vállalati 
hálózatot, de az is előfordulhat, hogy vé- 
delem nélkül hagyja a belső. adatokat. A 
jobb tűzfalaknál azt is be lehet állítani, 
hogy a rendszer — amennyiben hiba kelet- 
kezik — pontosan mit is tegyen. Nagyobb 
vállalati hálózatokon a tűzfal funkcióit 
több szerver látja el, az első gép maga a 


Mindig résen 


Az internet hőskorában bonyolult feladat volt még az Unix 


rendszereken futó tűzfal-szerverek kezelése. A helyzet mára 


gyökeresen megváltozott: a rendszergazdák jobbnál-jobb, 


ráadásul egyszerűen kezelhető termékek közül választhat- 


nak. A tűzfalak kínálatát újabban a WatchGuard termékcsa- 
lád is színesíti, a PiK-SYS Kft. jóvoltából. 


tűzfal, egy másikon lehet elvégezni a beál- 
lításokat, egy harmadik gép feladata a log- 
ok tárolása, és akár egy negyedik számító- 
gép látja el az engedélyezés feladatait. 
Sokszor egy második szervert is üzembe 
helyeznek, amely akkor lép működésbe, 
ha az első meghibásodik. 

Túl a fizikai megbízhatóságon, nem ke- 
rülhető el a szoftveres környezet állandó 
frissítése, fejlesztése sem, hiszen az 
internet biztonsági réseit azonnal kihasz- 
nálják a hívatlan látogatók. A gyártók ezért 
akár heti rendszerességgel újabb és újabb 
szoftververziókat bocsátanak ki. Ma már 
természetes, hogy a frissítések letöltése au- 
tomatikusan történik anélkül, hogy a rend- 
szergazdának a különféle patch-ek vagy 
update-ek keresésével kellene töltenie az 
idejét. 


Megszűrt adatok 


A tűzfalak legnagyobb előnye, hogy ké- 
pesek a vállalati hálózaton belül közleke- 
dő, illetve a világhálóról a szerverekre ér- 
kező vagy oda távozó úgynevezett adat- 
csomagokat megszűrni. Hasonlóan a vál- 
lalat postázójában dolgozó alkalmazott- 
hoz, aki szelektálja a bejövő vagy elkül- 
dendő küldeményeket, és a megfelelő re- 
keszbe gyűjti azokat: a tűzfal az úgyneve- 
zett header alapján azonosítja adatainkat. 
Ha egy adott küldeményt nem a megfelelő 
helyre címeztek, vagyis például a 121-es 
portra, amely nem üzemel, vagy korlátoz- 
va van, a tűzfal automatikusan visszadobja 
a fájlt. Képzeljük el például, milyen káoszt 
okozna, ha egy adminisztratív dolgozó kis 
teljesítményű gépére nagy multimédia fáj- 


A frissítésről a rendszer automatikusan 
gondoskodik 


Adatbiztonság 


lok kerülnének véletlenül. Mivel a szűrő 
csak a header adatait vizsgálja, hatéko- 
nyan mentesíti a hálózatot a forgalom 
okozta lefagyástól vagy lelassulástól. A 
csomagok szűrésén túlmenően az úgyne- 
vezett biztonsági proxy nem csak a 
headert vizsgálja meg, hanem a csomag 
tartalmát is. Ha a csomag potenciális ve- 
szélyforrást, például exe kiterjesztésű fájlt 
vagy scriptet tartalmaz, a tűzfal közbelép 
és a fájl a felhasználó számára elérhetet- 
lenné válik. 

A cégek többségénél ezért igen komoly 
biztonsági rendszabályok léteznek, ame- 
lyek alapján a tűzfal-rendszereket konfigu- 
rálják. A ma kapható hardveres tűzfal- 
megoldásokkal szemben ezért alapköve- 
telmény, hogy a felhasználói interfész be- 
állításai könnyen áttekinthetők legyenek, 
de tartalmazzák mindazokat az árnyalt be- 
állítási lehetőségeket is, amelyeket az 
adott egyedi vállalati hálózati környezet 
megkíván. 

Tegyük fel, hogy Kovács urat azonnali 
hatállyal elbocsátották munkahelyéről. A 
döntés után fontos, hogy a számítógépén 
tárolt bizalmas vállalati adatokhoz való 
hozzáférését azonnal korlátozzák. A válla- 
lati rendelkezések gyors alkalmazása érde- 
kében a modern tűzfal-rendszerek bár- 
mely funkciója bárhonnan, akár távolról is 
könnyen adminisztrálható, így egy adott 
hálózati konfigurációs beállítás, például a 
hozzáférések engedélyezése és tiltása fel- 
használói csoportokra, illetve egyéni fel- 
használókra szűkítve azonnal elvégezhe- 
tő. Adott esetben Kovács úr e-mailjeit 
azonnal letilthatják, illetve egyes alkalma- 
zásokhoz vagy fájlokhoz való hozzáférését 
akár percek alatt is korlátozhatják. 

A vállalati filozófiának megfelelően ma 
már sok helyen azt sem nézik jó szemmel, 
hogy az alkalmazottak munkaidejükben 
magáncélra használják az internetet. A 
modern tűzfal-rendszerek olyan kifinomult 
szűrőrendszerekkel rendelkeznek, ame- 
lyek tökéletesen képesek szelektálni a fel- 
használók által látogatni kívánt webes tar- 
talmakat, amennyiben az internetet nem a 
munkájuk miatt használják. A log fájlok 
elemzésével továbbá az is nyomon követ- 
hető, hogy ki honnan, hogyan, mikor mit 
töltött le, és milyen fájlokat továbbított 
vagy fogadott, illetve milyen alkalmazáso- 
kat nyitott meg. 

Az is pontosan kimutatható, ha valaki 
kívülről vagy belülről próbál illetéktelenül 
adatokhoz jutni, vagy számára nem enge- 


Adathistancán 


A WatchGuard Magyarországon 


A WatchGuard Technologies, Inc. 
egyik kiemelt partnerén keresztül meg- 
kezdte termékeinek magyarországi for- 
galmazását. Az Egyesült Államokbeli, 
Seattle-i székhelyű, 1996-ban alapított 
WatchGuard az informatikai biztonsági 
megoldások egyik vezető szállítója a 
nemzetközi piacon. A társaság több 
mint 300 alkalmazottat foglalkoztat, s 
1999 óta jegyzik a tőzsdén. A Watch- 
Guard 2002-ben nemzetközi szinten 
75,5 millió dolláros árbevételt ért el. A 
társaság termékeit elsősorban azok a 
vállalatok használják, amelyek üzletme- 
netében meghatározó az e-business és 
az internet biztonságos használata. 

A WatchGuard fóbb termékei a követ- 
kezők: 

WatchGuard Firebox Vclass: nagyválla- 
lati felhasználásra szánt csomagszűrő 
túzfal és VPN-eszköz, Ouality-of-Service 
funkciókkal. A hardver AapidStream fej- 
lesztés, amely a hardveres tűzfalak között 
jelenleg az egyik leggyorsabb. Két Vclass 
(v80-v100) készülékből egy virtuális, dup- 
la áteresztőképességű és magas rendel- 
kezésre állású tűzfal állítható össze. 

WatchGuard Firebox System: hardver- 
alapú biztonsági megoldás, amely a leg- 
különbözőbb méretű vállalatok számára 
nyújt integrált túzfal- és VPN szolgáltatá- 
sokat. A rendszer tartalmaz egy Firebox 
hardveres tűzfalat, egy irányító és moni- 


délyezett fájlokat megnyitni. Az ártó szán- 
dék nélküli alkalmazottak csupán ,kutat- 
nak" a belső vállalati szerveren, és megfe- 
lelő védelem nélkül nagy kárt okozhatnak. 
Önmagában a tűzfal még nem jelent haté- 
kony védekezést, így együtt kell működnie 
például az antivírus szoftverekkel vagy 
egyéb hardverekkel. 

Néhány évvel ezelőtt, még az internet 
elterjedése előtt a vállalatok titkos adatait 
hagyományos módon, saját futár segítsé- 
gével továbbították, így biztosították azt, 
hogy illetéktelen kezek ne férhessenek 
hozzá a bizalmas információkhoz. Ma 
már a világháló jelentősen gyorsítja üzene- 
teink célbajutását, azonban a védelemről 
feltétlenül gondoskodni kell, mivel a ha- 
gyományos e-mail önmagában még nem 
biztonságos. Egyre jobban elterjed az úgy- 
nevezett virtuális magánhálózat (Virtual 
Private Network, VPN), ahol a közvetítő 
közeg a világháló, de a titkosított adatok 


toring szoftvert, valamint a WatchGuard 
LiveSecurity szolgáltatását, amely folya- 
matosan biztosítja a hálózatok biztonsá- 
gát és a hálózati szoftverek legújabb ver- 
zióit. 

WatchGuard Firebox SOHO: modelljei 
a kisvállalkozások és a kis méretű irodák 
számára nyújtanak tűzfal- és VPN meg- 
oldásokat, továbbá mindazoknak, akik- 
nek DSL-, modem- vagy IDSN-kapcsola- 
tuk van az internettel. 

WatchGuard Serverlock: a szerverek 
operációs rendszereinek adminisztratív 
és biztonsági célzatú védelem-kiegészí- 
tó szoftvere. Az operációs rendszerbe 
épülve védi azt bármilyen változtatástól, 
legyen az belső vagy külső támadás, új 
program telepítése, fájlok törlése vagy 
megváltoztatása. 

WatchGuard AppLock/Web: a Micro- 
soft IIS webszerverek védelmére specia- 
lizált, a ServerLock-hoz hasonló alkalma- 
zás, amely elsősorban a nyilvános 
webszerverek védelmének elengedhe- 
tetlen kiegészítő szoftvere. Automatiku- 
san védi a webtartalmat, a Windows 
operációs rendszert és az IIS web- 
szerver szoftvert. 

A WatchGuard hazai professzionális 
partnere, a PiK-SYS Kft. végzi Magyaror- 
szágon a forgalmazás mellett a Watch- 
Guard termékeinek implementálását, 
karbantartását és terméktámogatását. 


csak a küldő és a fogadó számára elérhe- 
tők. 

Tűzfal vásárlása előtt először is azt kell 
megvizsgálni, hogy az adott cég milyen 
internetes kapcsolattal rendelkezik. Nyil- 
ván más tűzfal szükséges a kisebb és más a 
nagyobb sávszélességhez. Fontos felmér- 
ni, hogy a vállalati felhasználóknak mun- 
kájukhoz sokat kell-e használni az 
internetet, illetve a belső vállalati hálóza- 
ton belül milyen adatforgalom várható. Az 
amerikai WatchGuard cég, amely az idei 
év tavaszától Magyarországon is forgal- 
mazza a VPN-re épülő tűzfal-megoldásait, 
az úgynevezett /PSec szabvány szerint tit- 
kosítja az információt. A szabvány gyártó- 
tól függetlenül kódolja a két vagy több 
egymáshoz kapcsolódó szervezet tűzfalai 
közötti adatforgalmat. 


Forrás: PiK-SYS Kft., vwwww.watchguard.com 
Kemény László 
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Windows Server 2003 


A Microsoft április 24-én, San Franciscóban jelentette be 


legújabb operációs rendszerét, a Windows Server 2003-at. 


A termék a műszaki újítások százainak 


köszönhetően adatközpont-szintű megbízhatóságot kínál a 


felhasználóknak. Írásunkban a Windows Server 


új biztonsági szolgáltatásait tekintjük át. 


Windows, ami 


apjainkra a vállalkozások kiter- 
Nee helyi  hálózataikat: 

egyesítették az intraneteket, az 
extraneteket és az internetes helyeket. Eb- 
ből fakadóan minden eddiginél nagyobb 
lett a biztonság jelentősége. A számítógé- 
pes környezet biztonságának növelése ér- 
dekében a Microsoft Windows Server 
2003 operációs rendszer számos új biz- 
tonsági funkciót tartalmaz, valamint to- 
vábbfejlesztve veszi át a Windows 2000 
Server rendszer részét alkotó biztonsági 
funkciókat. 

A vírusok folyamatos fenyegetése, a 
szoftverek biztonsága állandó kihívást je- 
lent. A Microsoft válasza ezekre a kihívá- 
sokra a Megbízható számítástechnika 
(Trustworthy Computing) nevű kezdemé- 
nyezés, amely keretrendszerül szolgál 
olyan, számítógépeken és szoftvereken 
alapuló eszközök kialakításához, amelyek 
annyira biztonságosak és megbízhatók, 
mint napjaink bármely háztartási eszköze 
és berendezése. 

A közös nyelvi futtatókörnyezet (Com- 
mon Language Runtime, CLR) szoftvermo- 
tor a Windows Server rendszer kulcsele- 


anorama.hu 


me, amely javítja megbízhatóságát, és elő- 
segíti a számítástechnikai környezet biz- 
tonságossá tételét. 


Előnyök 


A Windows Server biztonságosabb és 
gazdaságosabb üzleti platformot kínál, 
amelynek az előnyei a következők: 

Alacsonyabb költségek: az alacsonyabb 
költségek az egyszerűbb biztonság-fel- 
ügyeleti folyamatokból — hozzáférés-ve- 
zérlési listák, Hitelesítő adatok kezelője, 
nyilvános kulcsú infrastruktúra — fakadnak. 

Nyílt szabványok megvalósítása: az IEEE 
802.1X protokoll révén könnyebben meg- 
óvhatók az üzleti környezetbe tartozó ve- 
zeték nélküli helyi hálózatok a lehallgatás- 
sal szemben. 

A hordozható számítógépek és az egyéb 
új eszközök védelme: a titkosított fájlrend- 
szer (EFS), a tanúsítványszolgáltatások, az 
intelligens kártyákhoz történő automatikus 
tanúsítványigénylés és más biztonsági 
szolgáltatások segítségével sokféle eszköz 
biztonságos használatának feltételei te- 
remthetők meg. 


Hitelesítés 


A hitelesítés során a rendszer ellenőrzi, 
hogy egy adott felhasználó vagy objektum 
valóban az-e, akinek vagy aminek vallja 
magát. Ilyen művelet az adatok forrásának 
és sértetlenségének, például a digitális alá- 
írásnak az ellenőrzése, valamint a felhasz- 
nálók és a számítógépek azonosítása. A 
Windows Server hitelesítő mechanizmusai 
révén a teljes hálózat összes erőforrása 
egyszeri bejelentkezéssel érhető el. 

Hitelesítéskor a rendszer — különféle té- 
nyezőktől függően — számos szabványos 
hitelesítéstípus közül választhat. A Win- 
dows Server család tagjai által támogatott 
hitelesítéstípusok a következők: 

Kerberos V5 hitelesítés: jelszóval vagy 
intelligens kártyával egyaránt használható, 
interaktív bejelentkezés céljára szolgáló 
protokoll. Szolgáltatások esetén ez az 
alapértelmezett hálózati hitelesítési mód- 
szer. 


biztos 


Secure Sockets Layer/Transport Layer 
Security (SSL/TLS) hitelesítés: biztonságos 
webkiszolgálóhoz való hozzáféréseknél 
használt protokoll. 

NTLM hitelesítés: akkor jut szerephez, 
ha az ügyfél vagy a kiszolgáló a Windows 
valamely korábbi verzióját használja. 

Kivonatoló hitelesítés: a kivonatoló hite- 
lesítés MD5 kivonat vagy üzenetkivonat 
formájában továbbítja a hitelesítési adato- 
kat a hálózaton keresztül. 

Passport-hitelesítés: a Passport-hitelesí- 
tés olyan felhasználókat hitelesítő szolgál- 
tatás, amely csak egyetlen bejelentkezést 
tesz szükségessé. 

Az Internet Information Services (IIS) 
használatakor a hitelesítés a biztonság 
alapvető feltétele. 

Az IIS 6.0 egy széleskörű szolgáltatáso- 
kat nyújtó webkiszolgáló, amely biztosítja 
a hátteret a Microsoft .NET-keretrendszer 
és a már meglévő webalkalmazások és 
webszolgáltatások számára. Az IIS 6.0-t a 
webalkalmazások és webszolgáltatások ki- 
szolgálói környezetben való futtatására 
optimalizálták. 

Interaktív bejelentkezésnél a rendszer a 


felhasználó azonosítását annak helyi szá- 
mitógépe vagy Active Directory-beli fiókja 
alapján végzi. 

A hálózati hitelesítés azon hálózati szol- 
gáltatás számára végzi el a felhasználó 
azonosítását, amelyet a felhasználó meg- 
próbál elérni. Az ilyen típusú hitelesítés- 
hez a biztonsági rendszer az alábbi hitele- 
sítési módszereket használja: 

s Kerberos V5 
e Nyilvános kulcsú tanúsítványok 
e Secure Sockets Layer/Transport Layer 

Security (SSL/TLS) kivonat 
5 NTLM (a Windows NT 4.0 alapú rend- 

szerekkel való együttműködés lehetősé- 

ge érdekében) 

Az egyszeri bejelentkezés révén a fel- 
használók hitelesítő adataik ismételt meg- 
adása nélkül férhetnek hozzá a különféle 
hálózati . erőforrásokhoz. A Windows 
Server család hitelesítési rendszere kétté- 
nyezős hitelesítésre is képes, például intel- 
ligens kártyák használatával. 

Az intelligens kártyák hamisítástól vé- 
dett, könnyen hordozható eszközök, ame- 
lyek biztonságos megoldást jelentenek a 
különböző feladatokban, mint amilyen az 
ügyfélhitelesítés, a Windows Server tarto- 
mányba történő bejelentkezés, a kódalá- 
írás vagy az elektronikus levelek védelme. 
Az intelligens kártya rendkívül megbízható 
hálózati hitelesítési forma, mivel a tarto- 
mányba bejelentkező felhasználót a titko- 
sított azonosító adatok és a kártya jelenlé- 
tének egyidejű vizsgálatával hitelesíti. 


Objektum alapú 
hozzáférés-vezérlés 

A felhasználói hitelesítés mellett a rend- 
szergazdák az erőforrásokhoz vagy objek- 
tumokhoz történő hálózati hozzáférést is 
szabályozhatják. Ehhez a rendszergazdák- 
nak biztonsági leírókat (security descrip- 
tor) kell hozzárendelniük az objektumok- 
hoz - a leírók tárolását az Active Directory 
végzi. Az objektumok tulajdonságainak 
kezelésével a rendszergazda beállíthatja 
az engedélyeket, elvégezheti a tulajdonos 
hozzárendelését és figyelheti a felhaszná- 
lói hozzáférést. 

A rendszergazda nem csak egy adott ob- 
jektum elérését, hanem az objektum egyes 
attribútumainak elérését is szabályozhatja. 
Adott objektum biztonsági leírójának he- 
lyes konfigurálásával a felhasználó hozzá- 
férést kaphat az információk valamely 
részhalmazához, például az alkalmazottak 


nevéhez és telefonszámához, de lakásci- 
méhez nem. 

Az engedélyek határozzák meg, hogy az 
adott felhasználó vagy csoport milyen típu- 
sú hozzáféréssel rendelkezik az adott ob- 
jektumhoz vagy objektumtulajdonsághoz. 

Az úgynevezett általános engedélyek az 
objektumok túlnyomó részéhez hozzáren- 
delhetők. Ide tartoznak az olvasási enge- 
délyek, a módosítási engedélyek, az új tu- 
lajdonos beállításának engedélye, vala- 
mint a törlés engedélye. 

Az engedélyek beállításakor megadható 


A hatályos engedélyek megadása 


a csoportok és a felhasználók hozzáférési 
szintje. Például beállítható, hogy az egyik 
felhasználó olvashassa a fájl tartalmát, egy 
másik módosíthassa stb. Hasonló engedé- 
lyek állíthatók be a nyomtatókra is. 

Objektum létrehozásakor a rendszer egy 
tulajdonost rendel az objektumhoz. Alap- 
értelmezés szerint a tulajdonos az objek- 
tum létrehozója. A tulajdonos az objek- 
tumra megadott engedélyektől függetlenül 
bármikor megváltoztathatja az objektum- 
hoz rendelt engedélyeket. 

Az öröklődés révén a rendszergazdák 
egyszerűen megadhatják és kezelhetik az 
engedélyeket. Ezzel a szolgáltatással a tá- 
rolóban lévő objektumok automatikusan 
öröklik a tároló örökölhető engedélyeit. 

A Hatályos engedélyek lap a Windows 
Server egyik új szolgáltatása. Segítségével 
megtekinthetők azok az engedélyek — köz- 
tük a biztonsági csoportoktól származtatott 
engedélyek is -, amelyek adott objektum 
valamely rendszerbiztonsági tagjára vo- 
natkoznak. 

A felhasználói jogok a számítógépes 


környezet felhasználói és csoportjai szá- 
mára biztosítanak bizonyos bejelentkezési 
és egyéb engedélyeket. 

Naplózhatjuk is az objektumokhoz tör- 
ténő felhasználói hozzáféréseket. A biz- 
tonsággal kapcsolatos naplózott esemé- 
nyeket a biztonsági naplóban tekinthetjük 
meg az Eseménynapló segédprogrammal. 


Biztonsági házirend 


A helyi számítógép vagy számítógépek 
valamely csoportjának biztonságát a kö- 
vetkező — házirendekkel 
tarthatjuk kézben: jelszó- 
házirendek,  fiókzárolási 
házirendek, Kerberos há- 
zirendek, naplórendek, 
felhasználói jogok és 
egyéb házirendek. 

Ha olyan házirendet sze- 
retnénk létrehozni, amely 
a teljes rendszerre vonat- 
kozik, a következő lehe- 
tőségek közül választha- 
tunk: biztonsági sablonok 
használata, — biztonsági 
sablonok alkalmazása a 
Biztonsági konfiguráció és 
analízis segédprogram se- 
gítségével, valamint a he- 
lyi számítógép, a szervezeti egység vagy a 
tartomány biztonsági házirendjeinek szer- 
kesztése. 

A Biztonsági beállítások kezelője esz- 
közkészlet segítségével a helyi számító- 
gépre, a szervezeti egységre vagy a tarto- 
mányra vonatkozóan hozhatunk létre, lép- 
tethetünk életbe és szerkeszthetünk biz- 
tonsági változókat. Az eszközkészlet ele- 
mei a következők: 

Biztonsági sablonok: biztonsági háziren- 
det definiál egy sablonban. Ezeket a sablo- 
nokat a Csoportházirendben vagy a helyi 
számítógépen lehet alkalmazni. 

A Csoportházirend Biztonsági beállítá- 
sok bővítménye: tartomány, hely vagy 
szervezeti egység biztonsági beállításainak 
egyedi módosítása. 

Helyi biztonsági házirend: a helyi szá- 
mítógép biztonsági beállításainak egyedi 
módosítása. 

Secedit parancsok: biztonsági beállítási 
feladatok automatizálása a parancssorból. 

A modul lehetővé teszi a biztonsági 
elemzés eredményeinek gyors áttekintését. 
Az aktuális rendszerbeállítások mellett 
ajánlásokat jelenít meg, és ikonokkal vagy 
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megjegyzésekkel hívja fel a figyelmet 
azokra a területekre, amelyek nem felel- 
nek meg az ajánlott biztonsági szintnek. 


Naplózás 


A naplózás lehetőséget nyújt a potenciá- 
lis biztonsági problémák felderítésére, biz- 
tosítja a felhasználók felelősségre vonható- 
ságát, és bizonyítékokat szolgáltat a biz- 
tonság megsértése esetén. 

A hatékony naplózás megvalósításához 
naplózási házirendre van szükség. Ehhez 
meg kell határoznunk, hogy mely ese- 
ménykategóriákat, objektumokat és hoz- 
záféréseket kívánjuk naplózni. 
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A biztonsági napló méretének és megőrzé- 
si házirendjének megadása 


A házirendnek valamilyen átgondolt 
stratégián kell alapulnia. Például rögzíthet- 
jük, hogy ki fért hozzá a rendszerhez vagy 
annak bizonyos adataihoz, esetleg azt, aki 
jogosulatlanul kívánta módosítani az ope- 
rációs rendszert. 

A leggyakrabban naplózásra kerülő ese- 
ménytípusok a következők: 

s A felhasználók bejelentkezése a rendszer- 
be, illetve kijelentkezése a rendszerből 

s Felhasználói és csoportfiókok kezelése 

s Objektumokhoz, például fájlokhoz és 
mappákhoz való hozzáférések. 

A naplózási házirend kidolgozásakor: 

s Hozzunk létre saját naplózási stratégiát. 

Határoljuk körül a naplózandó magatar- 

tásokat. 


s Válasszuk ki a naplózá- 
si stratégiájának megfe- 
lelő naplókategóriákat, 
ügyelve a felesleges ka- 
tegóriák elhagyására. 

s Megfelelő méretet és 
megőrzési házirendet 
szabjunk meg a bizton- 
sági napló számára. A 
biztonsági napló meg- 
tekintésére, valamint a 
napló méretének és 
megőrzési  házirendjé- 
nek megadására az Ese- 
ménynaplót használ- 
hatjuk. 
Ha a címtárszolgáltatás vagy az objektu- 
mok elérésének naplózása mellett dön- 
töttünk, akkor határozzuk meg, hogy 
stratégiánk mely objektumok figyelésére 
terjed ki. Ugyancsak át kell gondolnunk, 
hogy céljainak elérésére minimálisan 
hány hozzáférés naplózására van szük- 
ség. 

s Léptessük életbe a házirendet. Különálló 
gépen ezt a Helyi biztonsági házirend 
eszközzel tehetjük meg, tartományban 
pedig a Csoportházirend segítségével. 

s Rendszeresen vizsgáljuk át a biztonsági 
naplókat. A naplózás teljesen felesleges, 
ha soha nem vizsgáljuk át a naplókat. 

s Szükség szerint finomítsunk a háziren- 
den. Előfordulhat, hogy bizonyos objek- 
tumokat vagy hozzáféréseket hozzá kell 
adnunk vagy el kell távolítanunk a nap- 
lórendből, illetve engedélyeznünk vagy 
tiltanunk kell bizonyos naplózási kate- 
góriákat. 


Az Active Directory 


és a biztonság 


Az Active Directory szolgáltatás segítsé- 
gével a rendszergazdák könnyen és haté- 
konyan felügyelhetik a felhasználók hitele- 
sítését és a hozzáférés-vezérlést. Az Active 
Directory az objektumok hozzáférés-ve- 
zérlése és a felhasználói azonosító adatok 
segítségével lehetővé teszi a csoportokkal 
és a felhasználói fiókokkal kapcsolatos 
adatok védett tárolását. Mivel az Active 
Directory nem csak a felhasználói azono- 
sító adatokat tárolja, hanem a hozzáférés- 
vezérlésre vonatkozó adatokat is, a háló- 
zatba bejelentkező felhasználók egyszerre 
nyernek hitelesítést és kapnak engedélye- 
ket a rendszer erőforrásaihoz történő hoz- 
záférésre. 


Advanced Attributes 


A tartalom titkosítása az adatok védelme érdekében 


Mivel az Active Directory lehetővé te- 
szi, hogy a rendszergazda csoportfiókokat 
hozzon létre, a biztonsági rendszer kezelé- 
se sokkal hatékonyabbá válik. Egy fájl tu- 
lajdonságainak beállításával például a 
rendszergazda egy adott csoport minden 
felhasználójának engedélyezheti a fájl ol- 
vasását. Ily módon az Active Directory- 
ban lévő objektumokhoz történő hozzáfé- 
rés a csoporttagságon alapul. 


Adatvédelem 


A rendszerben - online vagy offline — tá- 
rolt adatok a Titkosított fájlrendszer (EFS) 
és a digitális aláírások segítségével védhe- 
tők. Az EFS nyilvános kulcsú titkosítást 
használ a helyi NTFS fájlrendszer adatai- 
nak titkosítására. 

Az EFS az alábbi szolgáltatásokat nyújtja: 
s Segítségével a felhasználók titkosíthatják 

a lemezen tárolt fájlokat. A titkosítás na- 

gyon egyszerű: be kell jelölni egy jelölő- 

négyzetet a fájl Tulajdonságok párbe- 
szédpanelén. 

s A titkosított fájlokhoz gyorsan és köny- 
nyen hozzá lehet férni. A felhasználó 
nyílt formátumban tekintheti meg saját, 
lemezen tárolt adatait. 

s Az adatok titkosítása automatikusan, a 
felhasználó számára láthatatlanul törté- 
nik. 

o A fájl visszafejtéséhez törölni kell a jelet 
a fájl Tulajdonságok párbeszédpanelén 
a Titkosítás jelölőnégyzetből. 

S A rendszergazdák más felhasználók által 
titkosított adatokat is visszafejthetnek. 
Ezáltal az adatok akkor is hozzáférhetők 
maradnak, ha a titkosítást elvégző fel- 
használó már nem elérhető, vagy elve- 
szítette személyes kulcsát. 

Az EFS csak a lemezen tárolt adatokat 


titkosítja. TCP/AP alapú hálózaton keresz- 
tüli átvitel idejére kétféleképpen titkosítha- 
tók az adatok: az IP-biztonság (IPSec) és a 
PPTP-titkosítás használatával. 

Az EFS-sel összefüggő legfontosabb fel- 
ügyeleti műveletek a következők: 
s Titkosított fájlok biztonsági mentése és 

visszaállítása 
s Titkosított adatok helyreállítása 
s Helyreállítási házirend beállítása 

A digitális aláírás az adatok épségének 
és eredetének egyik ellenőrzési eszköze. A 
Windows Server támogatja a CAPICOM 
2.0-t. E támogatás révén az alkalmazásfej- 
lesztők egy könnyen használható COM fe- 
lület segítségével  aknázhatják ki a 
CryptoAPI robusztus tanúsítvány- és titko- 
sítási szolgáltatásait. Mivel a CAPICOM 
megoldás COM-alapú, a fejlesztők számos 
különböző programozási környezetből — 
Visual Ci fejlesztőeszköz, Visual Basic 
.NET fejlesztőrendszer, Visual Basic, Visual 
Basic Script, Jscript stb. — is elérhetik szol- 
gáltatásait. 


Hálózati adatvédelem 


Adott helyen a hálózati (helyi és alhá- 
lózati) adatok védelmét a hitelesítési pro- 
tokoll biztosítja. A biztonság további foko- 
zása érdekében a hálózaton továbbított 
adatok a telephelyen belül titkosíthatók is. 
Az IPSec (IP-biztonság) használatával bi- 
zonyos ügyfelek részére, vagy a tarto- 
mányban lévő összes ügyfél részére min- 
den hálózati kommunikációt  titkosít- 
hatunk. 

A bejövő és kimenő (intraneten, extra- 
neten vagy internetátjárón keresztüli) háló- 
zati adatok a következő segédprogramok- 
kal védhetők: 

s IP-biztonság (IPSec). Titkosításon alapu- 
ló védelmi szolgáltatásokból és bizton- 
sági protokollokból álló együttes. 

s Útválasztás és távelérés. A távelérési pro- 
tokollokat és az útválasztást konfigurálja. 

s Internetes hitelesítési szolgáltatás (IAS). 
Biztonságot és hitelesítést nyújt a telefo- 
nos felhasználók számára. 

A biztonságos hálózati technikák jövője- 
ként számon tartott /PSec titkosításra épülő 
védelmi szolgáltatások és biztonsági pro- 
tokollok együttese. Mivel használata nem 
igényli az alkalmazások, illetve a protokol- 
lok módosítását, könnyen telepíthető meg- 
levő hálózatokon is. 

Az IPSec számítógépszintű hitelesítést, 
valamint adattitkosítást kínál az LZTP ala- 


pú virtuális magánhálózati (VPN) kapcso- 
latok számára. Az IPSec egyeztetés a szá- 
míitógép és az L2TP alapú VPN-kiszolgáló 
között történik, az LZTP kapcsolat létrejöt- 
te előtt. Az egyeztetés a jelszavak és ada- 
tok védelmét egyaránt biztosítja. 

A Windows Server rendszerek Útválasz- 
tás és távelérés (Routing and Remote 
Access, RRAS) szolgáltatása egy minden 
feladat ellátására képes szoftveres útvá- 
lasztó, amely nyílt platformot biztosít az 
útválasztáshoz és az összekapcsolt hálóza- 
tokhoz. A szolgáltatás biztonságos virtuális 
magánhálózati (VPN) kapcsolatok alkal- 
mazásával kínál útválasztási lehetőséget a 
vállalkozások számára a helyi hálózatok- 
ban (LAN), a távadatátviteli hálózatokban 
(WAN), illetve az interneten keresztül. A 
szolgáltatás a Windows Server család tag- 
jaival való integrációra is alkalmas. 

A Windows Standard Serverben találha- 
tó Internetes hitelesítési szolgáltatás (IAS) a 


ASZ zt SSE 


az elektronikus tranzakciókban részt vevő 
felek jogosultságait. A PKI szabványait fo- 
lyamatosan fejlesztik, ugyanakkor az 
elektronikus kereskedelem nélkülözhetet- 
len elemeiként már jelenleg is széles kör- 
ben használják őket. 

A Windows Server család tagjai különfé- 
le szolgáltatásokkal segítenek a nyilvános 
kulcsú infrastruktúra létrehozásában. 

A tanúsítvány lényegében egy digitális 
nyilatkozat, amelyet a tanúsítvány tulajdo- 
nosának kilétét szavatoló szervezet bocsát 
ki. A tanúsítvány a nyilvános kulcsot a 
hozzá tartozó titkos kulcsot birtokló sze- 
mélyhez, számítógéphez vagy szolgálta- 
táshoz köti. Tanúsítványokat számos olyan 
nyilvános kulcsú titkosítást használó szol- 
gáltatás és program alkalmaz, amely a há- 
lózatokon, például az interneten keresztül 
folytatott kommunikáció hitelesítéséről, 
biztonságáról, valamint az adatok integri- 
tásáról gondoskodik. 

A Windows tanúsítvány 
alapú — folyamatai az 
X.509v3 szabványos ta- 
núsítványformátumot . al- 
kalmazzák. Egy X.509 for- 
mátumú tanúsítvány ada- 
tokat tartalmaz a tanúsít- 
vánnyal rendelkező sze- 
mélyről vagy entitásról, a 
tanúsítványról, valamint a 
tanúsítványt kibocsátó 
hitelesítésszolgáltatóról. A 
tanúsítványban foglalt 
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A tanúsítványok kezelése a Tanúsítványok MMC konzol se- 


gítségével 


RADIUS kiszolgáló és proxy Microsoft ál- 
tali megvalósítása. RADIUS kiszolgálóként 
az IAS központi kapcsolathitelesítést, en- 
gedélyezést és számlázást végez számos 
különböző (vezeték nélküli, hitelesítő kap- 
csoló, távoli telefonos és VPN alapú) háló- 
zati kapcsolathoz. RADIUS proxyként az 
IAS más RADIUS kiszolgálók felé továbbít- 
ja a hitelesítési és számlázási üzeneteket. 
A RADIUS szabványt az Internet 
Engineering Task Force (IETF) dolgozta ki. 


Nyilvános kulcsú 
infrastruktúra (PKI) 


A nyilvános kulcsú infrastruktúra (PKI) a 
digitális tanúsítványok, hitelesítés-szolgál- 
tatók (CA) és más regisztrációs szervezetek 
(RA) rendszere, amely nyilvános kulcsú tit- 
kosítás segítségével ellenőrzi és hitelesíti 
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adatok között szerepelhet 
az entitás neve, a nyilvá- 
nos kulcs és a nyilvános 
kulcsú algoritmus azonosítója. A tanúsít- 
ványt megkapó entitás a tanúsítvány tulaj- 
donosa. A tanúsítványt kiállító és aláíró 
szervezet a hitelesítésszolgáltató. 

A felhasználók a Microsoft 
Management Console (MMC) segítségével 
kezelhetik tanúsítványaikat. Az automati- 
kus igénylés engedélyezésével a felhasz- 
nálók automatikussá is tehetik a tanúsítvá- 
nyok kezelését. 

Egy tanúsítvány csak a benne meghatá- 
rozott időtartamra érvényes. Minden tanú- 
sítvány tartalmazza az érvényességi perió- 
dus kezdő és lezáró dátumát. Ha az érvé- 
nyességi idő lejárt, az érvényét vesztett ta- 
núsítvány tulajdonosának új tanúsítványt 
kell igényelnie. 

Abban az esetben, ha szükségessé válik 
a tanúsítvány által igazolt kapcsolat meg- 
szüntetése, a kiállító visszavonhatja a ta- 
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núsítványt. Minden kiállító listát vezet a 
visszavont  tanúsítványokról, melyet a 
programok a tanúsítványok érvényességé- 
nek vizsgálatakor használnak. 

A Tanúsítvány-szolgáltatások (Certificate 
Services) a Windows Server család hitelesí- 
tés-szolgáltatók . (Certificate Authority, CA) 
létrehozására és kezelésére szolgáló összete- 
vője. A hitelesítés-szolgáltató feladata a tanú- 
sítványtulajdonosok azonosságának megál- 
lapítása és igazolása. Emellett gondoskodnia 
kell az érvénytelenné vált tanúsítványok 
visszavonásáról, és közzé kell tennie ezek 
listáját, amelyet majd a tanúsítványt ellenőr- 
ző programok használni fognak. 

A tanúsítványokat a hitelesítés-szolgálta- 
tó bocsátja ki a tanúsítványkérelemben 
szereplő adatok és a tanúsítványsablonban 
megadott beállítások alapján. A tanúsít- 
ványsablon a bejövő tanúsítványkérelmek- 
re vonatkozó szabályok és beállítások cso- 
portja. Egy vállalati hitelesítés-szolgáltató 
esetében minden általa kibocsátható tanú- 
sítványtípushoz egy  tanúsítványsablont 
kell rendelni. 

Az automatikus tanúsítványigénylés ré- 
vén a rendszergazdák a következő művele- 
teket engedélyezhetik a felhasználóknak: ta- 
núsítványok automatikus igénylése, koráb- 
ban kiadott tanúsítványok lekérdezése, lejá- 
ró tanúsítványok megújítása a tulajdonos 
közbeavatkozása nélkül. A műveletek vég- 
rehajtásához a tulajdonosnak a tanúsítvá- 
nyokkal kapcsolatos semmilyen ismerettel 
nem kell rendelkeznie — hacsak a tanúsít- 
ványsablon elő nem írja a tulajdonossal 
folytatott interaktív párbeszédet, vagy a krip- 
tográfiai szolgáltató (CSP) meg nem követeli 
azt (például intelligens kártyát illesztő CSP). 

A webes igénylőoldalak a Tanúsítvány- 
szolgáltatások különálló összetevője. E 
weblapok a hitelesítés-szolgáltató üzembe 
helyezésekor alapértelmezés szerint auto- 
matikusan telepítésre kerülnek, ha engedé- 
lyezzük, hogy a tanúsítványok igénylői 
webböngészőn keresztül küldjék el igény- 
léseiket. 

A Windows támogatja az intelligens 
kártyán tárolt tanúsítvány használatával 
végzett bejelentkezést, illetve az intelli- 
gens kártyák tanúsítványok és titkos kul- 


csok tárolására történő használatát. 
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A Windows. csoportházirendjével a ta- 
núsítványok automatikusan eljuttathatók 
tulajdonosukhoz, mindenki által megbíz- 
hatónak tekintett hitelesítésszolgáltatók 
hozhatók létre, illetve kezelhetők az EFS 
helyreállítási házirendjei. 


Bizalmi kapcsolatok 


A Windows Server család tartományi és 
erdő szinten támogatja a bizalmi kapcso- 
latokat. A tartományok közötti bizalmi 
kapcsolat lehetővé teszi a felhasználó hite- 
lesítését más tartományban lévő erőforrás- 
ok használatához. 

A bizalmi kapcsolatok típusa és iránya 
jelentős hatással van a hitelesítésre hasz- 
nált bizalmi útvonalak működésére. A bi- 
zalmi útvonal bizalmi kapcsolatok soroza- 
ta, amelyet a hitelesítési kérelemnek be 


Mem Fevgrtes  Wéndom Hap 


re, akkor a gyermektartomány és a szülő- 
tartomány között automatikusan kétirányú 
tranzitív bizalmi kapcsolat jön létre. Két- 
irányú bizalmi kapcsolat esetén az A tarto- 
mány megbízik a B tartományban, és a B 
tartomány megbízik az A tartományban. 

A Windows tartományok az alábbi tarto- 
mányokkal képesek egy- vagy kétirányú 
bizalmi kapcsolatot kialakítani: 

s Ugyanazon erdő Windows tartományai 
5 Más erdő Windows tartományai 

" Windows NT 4.0 tartományok 

s Kerberos V5 területek 

A Windows Server rendszerek erdőjé- 
ben a rendszergazda erdőszintű bizalmi 
kapcsolatot hozhat létre, ezáltal a kétirá- 
nyú tranzitivitást egyetlen erdő hatóköré- 
ből egy másik Windows Server erdőre ter- 
jesztheti ki. Más szavakkal élve, az erdő- 
szintű bizalmi kapcsolatok segítségével két 
különálló Windows 
Server erdő is összekap- 
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csolható, ezzel kétirányú 


tranzitív bizalmi kapcso- 
lat jön létre a két erdő 
összes tartománya között. 


Összegzés 


A vállalatok versenyké- 
pességének megőrzése 
minden eddiginél jobban 


A tanúsítványsablonok kezelése a Tanúsítványsablonok 


MMC konzol segítségével 


kell járnia a tartományok között. 

A tartományok közötti kommunikáció 
bizalmi kapcsolatokon keresztül történik. 
A bizalmi kapcsolat olyan hitelesítési csa- 
torna, amely arra szolgál, hogy az egyik 
tartományhoz tartozó felhasználók elér- 
hessék egy másik tartomány erőforrásait. 

Az egyirányú bizalmi kapcsolat két tar- 
tomány között létrejött egyirányú hitelesí- 
tési útvonal. Ez azt jelenti, hogy ha az A és 
a B tartomány között egyirányú bizalmi 
kapcsolat áll fenn, akkor az A tartomány 
felhasználói elérhetik a B tartomány erő- 
forrásait, ám a B tartomány felhasználói 
nem férhetnek hozzá az A tartomány erő- 
forrásaihoz. 

Bizonyos egyirányú bizalmi kapcsolatok 
a kapcsolat típusától függően tranzitívak és 
nem tranzitívak lehetnek. 

Adott Windows erdőn belül minden tar- 
tományi bizalmi kapcsolat kétirányú és 
tranzitív. Ha új gyermektartomány jön lét- 


függ a hatékony és bizton- 
ságos hálózati informati- 
kától. A Windows Server 
segítségével megnövelhe- 
tő a korábbi informatikai beruházások által 
nyújtott előnyök köre, az erdők közötti bi- 
zalmi kapcsolatokhoz és a Passport szolgál- 
tatás integrálásához hasonló kulcsfontossá- 
gú funkciók révén pedig kiterjeszthetők 
ezek az előnyök a partnerek, az ügyfelek és 
a beszállítók körére is. 

A Windows Server olyan szolgáltatáso- 
kat nyújt, amelyekkel biztonságosabb kör- 
nyezet alakítható ki az üzletvitel számára. 
A bizalmas adatok egyszerűen titkosít- 
hatók, a szoftverkorlátozó házirendek se- 
gítségével pedig megelőzhetők a különféle 
vírusok és trójai falovak által okozott 
károk. A Windows Server a legjobb válasz- 
tás akkor is, ha nyilvános kulcsú infrastruk- 
túra kialakítása a cél. Automatikus tanúsít- 
vány-igénylési és -megújítási funkcióinak 
köszönhetően egyszerűen lehet az egész 
vállalaton belül bevezetni az intelligens 
kártyák és a tanúsítványok használatát. 

[d] 
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Computer Panoráma Kiadói Kft. 
Terjesztési Osztály 

1091 Budapest, Üllői út 25. 
Tel.: 456-69-63 


kuz 
ui 
5 
§ 
Laj 


FAX MEGRENDELŐLAP 


Fax: 456-69-70 


Igen, utánvéttel megrendelem 
az alábbi könyveket: 


(1 PC-doktor 
(3990 Fi) 


(d Pc-tuningolás 2003 
(4 990 Ft) 


CT Hacker kézikönyv 
(4 990 Ft) 


ÍT CD-írás A-tól Z-ig 
(3.490 Ft) 


CT Pc-doktor 
€-book - CD-ROM 
(3.990 Ft) 
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Kérjük, a kézbesítés megkönnyítése és a gyors ügyin- 
tézés érdekében minden adatot feltétlenül adjon meg! 
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Aláírás 


Átfutási idő kb. 2 hét! 

Internet: www.computer panorama.hu/megrendeles, 
E-mail: megrendeles Oocpanorama.hu 

A megrendelt könyveket utánvéttel küldjük, áraink a 
postaköltséget nem tartalmazzák! (A postaköltséget 
az érvényes postai díjszabás szerint számoljuk.) 


Biztonságos hálózatok 
— távfelügyelettel 


Az internet terjedésével nő a fenyegetések száma is - 


mondják-mondogatják egyre többen. Éppen csak tenni nem 


akarózik semmit e veszélyek ellen. Az ICON Rt. 


távfelügyeleti központja nagymértékben tehermentesíti 


a vállalati ÍT-szakembereket a hálózati biztonsággal 


kapcsolatos feladatoktól. 


ilágszerte egyre növekszik a háló- 
Ve való illetéktelen behatolá- 

sok száma. 2002-ben az adatbiz- 
tonság világát új típusú fenyegetések hatá- 
rozták meg. Az otthoni számítógépekbe 
való betörések egyre gyakoribbá válása és 
az ázsiai vírusírók egyre növekvő aktivitá- 
sa rengeteg munkát adott az adatbizton- 
sággal foglalkozó cégeknek. Az új techno- 
lógiák, a sok platform, valamint a mobil- 
és a vezeték nélküli eszközök rohamos ter- 
jedésével egyidejűleg nőtt a potenciális tá- 
madások száma is. 

Előrejelzések szerint 2003-ban még ve- 
szélyesebb és még nehezebben azonosít- 
ható vírusok megjelenésére lehet számíta- 
ni. A nemzetközi tendenciák hatására 
ugyanakkor a hálózatbiztonsági kérdések 
Magyarországon is egyre inkább előtérbe 
kerülnek. 


Távfelügyelet 


A biztonsággal összefüggő események a 
nagyobb . informatikai rendszerekben 
olyan mértékű adatmennyiséget és munkát 
eredményeznek, amelyet manuálisan kiér- 
tékelni, feldolgozni reménytelen. Gondot 
okozhat a vakriasztások nagy aránya is, 
ami az emberi felügyelet munkáját jelen- 
tős mértékben nehezíti. Ezért egyre több 
cég ismeri fel a távfelügyelet szükségessé- 
gét, a módszer kínálta előnyöket. 
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A távfelügyelet azoknak a hardver- és 
szoftvereszközöknek az interneten vagy 
bérelt vonalon keresztül való felügyeletét 
jelenti, amelyek önmagukban vagy a rájuk 
telepített megfelelő felügyeleti szoftverek 
révén képesek működésükről információt 
szolgáltatni. 

A távfelügyeleti rendszer feladata a kü- 
lönböző biztonságtechnikai eszközökből 
kinyerhető információ helyi összegyűjtése, 
szűrése, archiválása, illetve központi fel- 
dolgozása, természetesen a veszélyt jelen- 
tő események felismerése és a megfelelő 
mechanikus ellenintézkedések megtétele. 


Alkalmazási területek 


A távfelügyelet még viszonylag új mód- 
szernek számít a hagyományos informati- 
kai biztonságban: csak napjainkban kezd 
terjedni a különböző pontokon elhelyezett 
biztonsági eszközök centralizált megfigye- 
lése, illetve az érkező jelzések egységes ki- 
értékelésére kifejlesztett megoldás. 

A biztonsági távfelügyeleti szolgáltatá- 
sok az alábbi területeket ölelik fel: 

s Konfigurációkövetés, amely a bizton- 
sági eszközök szoítver- és hardvernyilván- 
tartásának a kezelését jelenti. 

s Szerveroldali és átjáró jellegű vírusvé- 
delmi rendszer felügyelete, amely a véde- 
lem működőképességének, aktualitásának 
és aktivitásának követését jelenti. 

5 Kliensoldali központosított vírusvédel- 
mi rendszer felügyelete, amely alatt a vé- 
delem működőképességének és aktualitá- 
sának ellenőrzését, aktivitásának követését 
és az általa szolgáltatott események feldol- 
gozását értik a szakemberek. 

s Szerver- és hálózatoldali behatolás- 
detektáló (IDS) rendszer felügyelete, amely 
a behatolás-detektáló rendszer működőké- 


Hl Támadó rendszer I Védelmi rendszer 


Ügyfél hálózat 


Network IDS Munkaállomás 


Adatbiztonság 


biztonság 


Az ICON portfoliójában központi helyen 
szerepelnek az adatbiztonsággal kapcsola- 
tos megoldások 


pességének biztosítását, aktivitásának kö- 
vetését takarja. 

s Tűzfal távfelügyelete, azaz a tűzfal 
működésének felügyelete. 

5 Rendszeres külső és belső aktív audit 
(scan), vagyis az informatikai rendszert a 
külső hálózatok irányából és a belső háló- 
zatról fenyegető sérülékenységek feltárása. 

s Rendkívüli események jelzése a fel- 
ügyelt rendszerek aktivitása és naplóinfor- 
mációi alapján. 

s Rendkívüli események kezelése, be- 
avatkozás, problémakezelés. 

s Rendkívüli események bekövetkezte- 
kor a történtek felmérése, az okok megha- 
tározása és a veszély elhárítását célzó lé- 
pések megtétele. 

s Rendszeres biztonsági összefoglaló je- 
lentés készítése, trendek értékelése. 

s A felügyelt biztonsági rendszerek pa- 
ramétereit, jellemzőit és a megfigyelés 
során kapott információkat figyelembe 
véve összefoglaló jelentés készítése a 
biztonsági eseményekről, rövid és hosszú 
távú javaslatok készítése a rendszerek 


biztonsági szintjének emelésére vonatko- 
zóan. 

5 Katasztrófa-elhárítási akciótervek ki- 
dolgozása. 


IT-biztonsági piac 


A biztonsági távfelügyeleti szolgáltatá- 
soknak megvannak az előfeltételei, ezek 
közül is a legfontosabb az IT biztonsági 
stratégia és szabályzat megléte, az üzleti 
kockázati tényezők szervezeti szintű defi- 
niálása, valamint az IT infrastruktúra elő- 
zetes biztonsági felmérése. 

Egyes felmérések szerint a hazai IT- 
biztonsági piac (termékek és kapcsolódó 
szolgáltatások) nagysága eléri az 5 milliárd 
forintot. A megfelelő biztonsági megoldás 
kiválasztásánál ma már egyre nagyobb sze- 
repet kapnak a könnyen menedzselhető 
rendszerek, adott esetben az erre specializá- 
lódott cégek megbízása és egy-egy komplex 
biztonsági szolgáltatás esetében a tapaszta- 
lat is egyre inkább meghatározó szempont. 

"A távfelügyeleti rendszer előnyeit hosz- 
szan sorolhatnám, de amit elsőként ki- 
emelnék az az, hogy a meglévő emberi 
erőforrásokat tehermentesíti, ezáltal több 
időt biztosít az alapvető üzemeltetési és 
fejlesztési feladatok ellátására. Az ICON 
Rt.-nél folyamatosan képzett, tapasztalt 
szakemberek figyelnek ügyfeleink rend- 
szereinek biztonságára. Rugalmas, egyedi 
igényekhez illeszkedő szolgáltatási cso- 
magjaink kulcseleme a Budapesti Műszaki 
Egyetemmel közösen fejlesztett csúcstech- 
nológiájú management szoftver" — foglalta 
össze a távfelügyeleti szolgáltatás előnyeit 
Keleti Arthur, az ICON Rt. biztonsági üz- 
letágának üzletfejlesztési igazgatója. 


Szüksége van-e önnek 
távfelügyeleti rendszerre? 


A dilemmát ki-ki eldöntheti, ha meg- 
válaszolja az alábbi kérdéseket. 

s A jelenlegi rendszerükben van-e 
erejük a naplóállományokat figyelni, 
vagy már rég kikapcsolták a részletes 
naplózást? 

s" A meglévő embereik rendelkez- 
nek-e megfelelő szakértelemmel az 
újonnan megjelenő sérülékenységek 
elleni védekezés megoldására? 

" Tudják-e szakembereik rendszeres 
informatikai biztonsági képzését és ta- 
nulmányaikat finanszírozni? 

s Biztonsági incidensek esetén tud- 
ják-e, hogy miként kell cselekedni a ve- 
szély elhárítása érdekében? 

" Munkaidőn kívül felügyeli-e valaki 
a rendszerüket? 

. Csak" a fentiekért megéri szak- 
embereket felvenni? 

Ha az alábbi kérdések közül legalább 
1-re NEM a válasza, már érdemes el- 
gondolkodni a távfelügyelet bevezeté- 
sén. 


Annak, aki nem csupán vásárolni, de 
hosszú távon üzemeltetni is akarja a biz- 
tonsági rendszert, a 7 x 24 órás távfelügye- 
leti szolgáltatást érdemes igénybe vennie. 
A fent felsorolt érvek mellett a szolgáltatás- 
nak megvan az az előnye, hogy szakem- 
bereink együtt élnek a cég informatikai 
rendszerével, így hatékony tanácsot tud- 
nak adni a felmerülő fejlesztési kérdések- 
ben, legyen szó akár az architektúra vagy 
a teljes informatika átalakításáról." 
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A DUD mellékleten: 

A hazáért és a királynőért 
Főszerepben: Denzel Washington 
Ára: 1990 Ft 
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PC-HÁZIMOZI 


Házimozi reklámáron 
Térhangzás egyszerűen 
DUD-lejátszók tesztje 
5.1-es hangrendszerek 
A tökéletes kép 
Diashow a komputerben 
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Kürt Computer Rt. 


Adatok vészhelyzetben 


Aki számítógéppel, vagyis digitális adatokkal dolgozik, bizo- 


A Kürt Némethonban 


Az egyre nagyobb németországi ügy- 
félkör könnyebb és rugalmasabb kiszol- 
gálása érdekében a Kürt Computer 
Rendszerház At. irodát nyitott KUERT 
Datenrettung Deutschland GmbH né- 
ven a németországi Bochumban. A pro- 
fesszionális adatmentési és informati- 
kai biztonsági technológiájáról világszin- 
ten elismert Kürt 100 százalékos tulaj- 
donosa a német cégnek, amely a tervek 
szerint szakembereivel és szaktudásá- 
val a régióba tartozó más országok 
adatvesztést szenvedett számítógép- 
felhasználóit is kiszolgálja majd. 

A kezdetben 6 főt foglalkoztató né- 
metországi iroda megnyitásának gondo- 
lata a Kürt németországi üzleti kapcsola- 
tainak, a német piaci helyzetnek és egy 
komoly helyi kapcsolatokkal rendelkező 
német menedzser személyének ismere- 
tében vetődött fel. Ernst Eder ügyvezető 
igazgató mellett a cég kereskedelmi és 
technológiai tevékenységét magyar 
szakemberek látják el, míg a marketing 
és pénzügyi feladatokat külső erőforrá- 
sokkal oldja meg az iroda. A helyszínvá- 
lasztás okai közé sorolható a német mű- 
szaki kultúra, a magas fizetőképesség 
és az a tény, hogy Németországon belül 
a , leggazdagabb" és legsűrűbben lakott 
terület a Ruhr-vidék (100 kilométeres 
körzetben 17 millió ember él). 

Németország mellett szólt az a kö- 
rülmény is, hogy a Kürt évek óta kiállít 
a világ legnagyobb informatikai és tele- 
kommunikációs  seregszemléjén, a 
hannoveri CeBit-en. Hannover szintén 
az új iroda vonzáskörzetébe esik. 

A KUERT GmbH 2003. január köze- 
pén történt megalakulásától márciusig 
nyolc adatmentésre kapott már megbí- 
zást, köztük 200 CD nagy értékű adata- 
inak helyreállítására. A cég az első év- 
ben 200-250 esettel és 300-350 ezer 
euró értékű bevétellel számol, az első 
3 évben pedig 1,5 millió euróval. A ter- 
vek között szerepel még, hogy - a ha- 
zai üzleti modellt követve — működésé- 
nek első szakaszában az adatmentés, 
azt követően pedig az adatbiztonság is 
a cég profiljának homlokterébe kerül. 


maz WWW.computerpanorama.hnu 


nyára találkozott már az adatvesztés hátborzongató élmé- 


nyével. A Kürt Computer Rt. arra vállalkozik, amire Magyar- 


országon rajtuk kívül senki: megpróbálják az elveszettnek 


hitt adatokat úgyszólván a sírból visszahozni. 


vállalatok, vállalkozások számító- 
Ass mára hétköznapi, 

megszokott, nélkülözhetetlen do- 
loggá vált. A menedzsereknek és az alkal- 
mazottaknak azonban újfajta kihívásokkal 
kell szembenézniük: nem elég gondos- 
kodni az adatok, programok, elektronikus 
termékek tárolásáról, áramoltatásáról, ha- 
nem azokat meg is kell védeni. Egy-egy 
laptopon vagy asztali gépen ugyanis sok- 
szor a ,vas" többszörösét érő állományok 
találhatók: operációs rendszer, adatbázi- 
sok, programok, kapcsolatok. Ezeket több- 
féle támadás is fenyegeti: vírusok vagy fér- 
gek behatolása, hackerek vagy felhaszná- 
lók jogosulatlan adatkezelése, 
adatlopás, vagy akár a képzetlen 
felhasználók — hibájából eredő 
adatvesztés, sérülés. 


Kollektív felelősség 


Az internet robbanásszerű el- 
terjedésével megjelent a világban 
az informatikai biztonsággal kap- 
csolatos kollektív felelősség gon- 
dolata. A felelősség saját magun- 
kért és egymásért is, hisz a háló- 
zaton mindenki kapcsolatban van 
mindenkivel. Ennek jegyében be 
kell tartani bizonyos szabályokat, 
ha nem akarunk sem kárt okozni, 
sem kárt szenvedni. Hasonlít ez a 
helyzet a közlekedésre: ott sem 
lehet fittyet hányni a szabályokra, 
az őrült autósok nemcsak maguk- 
ra jelentenek veszélyt, hanem au- 
tóstársaikra is. 

A magyarországi költségvetési 
intézmények 2001-ben 50-60 
milliárd forintot fordítottak az in- 


formatikára (forrás: Bell Research). Szakér- 
tők szerint Magyarországon jelenleg 10-12 
százalék lehet az informatikai biztonságra 
költött összegek aránya. 

Az informatikai biztonság feladatkörét 
Magyarországon elsőként a Kürt Rendszer- 
ház Rt. foglalta integrált adatvédelmi, adat- 
biztonsági rendszerbe: ez az IBIT, azaz In- 
formatikai Biztonsági Technológia. A jól 
működő informatikai biztonsági rendszer 
megteremtése több lépésből álló, öszszetett 
feladat. A rendszer kiépítésének különböző 
fázisai számos olyan járulékos információt 
szolgáltatnak, amelyek a döntéshozók szá- 
mára megkönnyítik a vállalati stratégia, az 
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Az IBIÍT projek folyamatábrája 
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SZOLGÁLTATÁS 


üzleti folyamatok és az informatika közötti 
— sokszor nehezen átlátható — kapcsolatok 
jobb megértését, s ezáltal segítséget nyújta- 
nak a döntések előkészítésében. 


Az IBIT felépítése 


A első lépés az aktuális állapot felméré- 
se: milyen gépeken, milyen programokkal 
dolgoznak a cégnél, mekkora a hálózat, 
hogyan kapcsolódnak az internethez, mi- 
lyen a jelenlegi IT-biztonság, és mik az el- 
képzelések? A vállalat működése mennyi- 
re van veszélyben? 

A következő lépés a kockázatkezelés, 
ami azért különösen fontos, hogy kialakul- 
jon a helyes arány: nehogy olyan védelmi 
intézkedést alkalmazzanak valahol, ame- 
lyik többe kerül, mint az általa elhárított 
kár mértéke! 

A következő lépésben elkészített rend- 
szerterv tartalmazza a kívánt biztonsági 
szint eléréséhez szükséges rendszerbővítés 
műszaki paramétereit és az ehhez tartozó 
becsült költségeket. Az eszközpark kivá- 
lasztása teljesen önállóan végezhető el, és 
ez többnyire az eszközök szállítójának a 
feladata. A komplex IT biztonsági rendszer 
kialakításához a megfelelő minőségről is 
gondoskodni kell, ami a Kürt feladata. 

Arra is volt már példa a Kürt praxisában, 
hogy csak a szabályzatrendszert kellett ki- 
alakítani a meglévő infrastruktúrához, esz- 
közrendszerhez. Természetesen a rendszer 
megismerése feltétlenül szükséges, tehát 
ilyenkor az egyszerűbb felmérés minden- 
képpen része a projektnek. Ezzel az imple- 
mentációs terv és az implementáció fogal- 
mát is megmagyaráztuk. 

Következik az informatikai biztonság 
megteremtésének egyik legfontosabb lépé- 
se: az eddig megfogalmazott elvárásoknak 
megfelelő egységes IBÍT szabályzatrend- 
szer kialakítása és bevezetése. 

A szabályok azonban köztudottan any- 
nyit érnek, amennyit betartanak belőlük. 
Nagyon fontos tehát, hogy minden fel- 
használó - és ne csak a rendszergazda — a 
megfelelő ismeretekkel rendelkezzen a be- 
vezetendő rendszerrel kapcsolatban, és 
pontosan ismerje az ehhez kapcsolódó fel- 
adatait, lehetőségeit és felelősségét. Az 
IBIT projekt utolsó modulja tehát a fel- 
használók és az informatikai dolgozók ok- 
tatása az informatikai biztonsági rendszer 
általános és speciális kérdéseire. 

F. Fülöp Hajnalka 
kivancsi Ovnet.hu 


Odathiztansán 


Adatbiztonság a háborúban 


Az Irak elleni amerikai hadjárat nem- 
csak a közel-keleti térségre, hanem az 
egész világra hatással van. A bevetésre 
kerülő arzenálban ugyanúgy ott szere- 
pelnek az informatikai támadóeszközök, 
mint ahogyan a célpontok között is ott 


vannak a számítógépek és egyéb 
infokommunikációs objektumok. " Az 
adatbiztonság és adatmentés tekinteté- 
ben világhírű Kürt At. szakembereinek 
segítségével kerestük a választ a háború 
által felvetett kérdésekre. 

A híradásokban ugyan még nem sze- 
repelt, de létezik már olyan bomba is 
(EMP — Matrix), amely az elektronikus 
szerkezeteket bénítja meg. Képes a be- 
csapódás helyétől mért 10-15 km-es su- 
garú körben — mikrohullámú rezgés kibo- 
csátásával — minden elektronikus szerke- 
zetet megbénítani, az autók gyújtásától 
kezdve a mobiltelefonokig, és természe- 
tesen a PC-ket, radarokat, GPS-eket is 
tönkreteszi, 

A másik fegyver, amelyet már több- 
ször bevetettek, a mikroszkopikus szén- 
szálak szórása villanyvezetékre, erőműte- 
lepre, trafótelepekre. Ezek tulajdonkép- 
pen hajszálvékony, de 10-20 cm hosszú- 
ságú szénszálak, amelyek rövidzárlatot 
okoznak. Ilyen értelemben tényleg ve- 
szélyt jelentenek a számítógépekre, illet- 
ve az adatokra (például a felhasználó ép- 
pen írni akar, amikor elmegy a villany, ez- 
által sérül az adat stb.). Közvetlenül azon- 
ban nem okoznak kárt az adatállomány- 
ban: a winchestert nem károsítják. Hát- 
rányuk, hogy nemcsak az ellenség, ha- 
nem a támadók rendszereit is veszélyez- 
tetik. 

Az egész világon pusztító vírusok 
nemcsak a háborúban ütik fel a fejüket 
és támadnak orvul a rendszerekre, ha- 
nem békeidőben, civilek között is bom- 
baként rombolnak, ha nem védekezünk 
ellenük megfelelően. Az iraki-amerikai 
konfliktus miatt azonban ismét felszínre 
került a kiberterrorizmus veszélye: a ter- 
roristák megbéníthatják a katonailag fon- 
tos szervereket, a hírközlő rendszereket, 
az internetes hálózat egyes részeit. 

, Természetesen a terroristák is hasz- 
nálják az internetet. Fontos leszögez- 
nünk azonban, hogy a terroristák a bé- 
kés felhasználókhoz hasonlóan elsősor- 
ban információszerzésre és az egymás- 
sal történő kommunikálásra használják a 
világhálót, és nem foglalkoznak azzal, 


hogy hogyan támadják meg azt. Vélemé- 
nyünk szerint a terroristák nem szándé- 
koznak nagyszabású internetes támadá- 
sokat indítani" — nyilatkozta az üggyel 
kapcsolatban Aainer Fahs, a NATO egyik 
biztonsági szakértője A biztonság kedvé- 
ért azonban az USA egy külön -— sokmilli- 
ós -— projektet indított, nemcsak a véde- 
kezésre, hanem az ellentámadásra való 
felkészülésre is. A kiberkalózok elleni vé- 
dekezés egyébként többszintű lehet: a 
védett eszközök és állományok minél tö- 
kéletesebb elszigetelése, a többszintű 
védelem, a nyílt forráskódú eszközök (pl. 
Linux) használata (a kiskapuk felszámolá- 
sára), a felhasználók és a civilek oktatá- 
sa, tájékoztatása. 

Valós, hétköznapi veszélyt jelenthet a 
világ minden felhasználója számára, 
hogy a vírusok írói kihasználják az embe- 
rek érdeklődését a háborús hírek iránt. 
Olyan vírusokat írnak, amelyek a háború- 
hoz kapcsolódó híreknek, képeknek ál- 
cázzák magukat. Ezek az elektronikus le- 
velek valójában csatolt fájlként magát a 
vírust tartalmazzák, nem pedig George 
W. Bush legújabb bejelentését. Az el- 
múlt egy-két évben nagyon elterjedt ez a 
fajta vírusírás, a ferde jellemű programo- 
zók rájöttek, hogy könnyű terjesztési 
módszerre leltek, Az iraki háború márciu- 
si kitörése után pár nappal jelent meg az 
alacsony károkozású fokozatba sorolt 
Ganda féreg, amely valószínűleg Svédor- 
szágból indult. A Ganda aktivizálódása 
után kiolvassa az Outlook címjegyzékét, 
és továbbküldi magát az abban található 
címekre. A vírus annyiban veszélyes 
azonban, hogy ismeri a népszerűbb 
antivírus alkalmazásokat, és amennyiben 
futnak a fertőzött rendszeren, leállítja 
azokat. 5. 

A háborús térség kommunikációs vo- 
nalait nyilvánvalóan zavarják (a műholdat, 
a GPRS-t, a műsorszóró rendszereket, a 
mobiltelefóniát stb.). A szakértők szerint 
ennek komoly informatikai vonatkozásai 
is lehetnek. Ezek kihatásai a környező ál- 
lamokban is érzékelhetők, illetve az érin- 
tett államok (így hazánk is) bevezetik e 
csatornák fokozott ellenőrzését, ami 
egyes esetekben teljesítménygondokat 
is jelenthet. Stratégiailag célszerű a vona- 
lak más technológián alapuló backup vo- 
nalakkal való helyettesítése (ezt egyéb- 
ként a katasztrófa elhárításra való felké- 
szülés szabályai is indokolhatják). 


Szerverfarmok 


ól tartott szerverek 


Sok vállalkozásnál a szerver még mindig ott áll, ahol akad 


számára hely. Sufnikban, raktárhelyiségekben, poros, meleg 


helyeken működnek a gépek, ez pedig erősen rontja a meg- 


hibásodási arányokat. Ám a rendszerek folyamatos működé- 


se egyre több cég számára létkérdés, így a szerverek elhelye- 


zése és üzemeltetése is mind fontosabb. Erre kínálnak meg- 


oldást a szerverfarmok. 


cégek többsége már kiépítette a ma- 
A: internetes hídfőállását, amelyek a 
orábban oly jellemző PR-szagú la- 
pocskákból lassacskán komoly, valódi szol- 
gáltatást nyújtó oldalakká fejlődtek. Mind 
több vállalat használ például internet-alapú 
kommunikációs rendszereket, adatbáziso- 
kat, üzemeltet portál-szolgáltatásokat, eset- 
leg nyújt chat-szolgáltatást. 

A minőségi váltással a webszerverekkel 
szembeni elvárások is nőttek, hiszen az 
interneten elérhető szolgáltatásoknak a 
nap 24 órájában, zavarmentesen kell mű- 
ködniük, miközben mind több felhaszná- 
lót kell kiszolgálniuk. Ehhez elengedhetet- 
len, hogy szerverünket megfelelő körülmé- 
nyek között, állandó technikai felügyelet 
mellett tároljuk, amit házon belül megol- 
dani nem csak munkaigényes, de költsé- 
ges feladat is. Olcsóbb és biztonságosabb 
megoldást jelent, ha szerverünket a műkö- 
dő szerverfarmok valamelyikében helyez- 
zük el, ahol fix havidíj ellenében megfele- 
lő körülmények között tárolják azt. 


Gyors hozzáférés 


Az olyan interaktív szolgáltatásoknál, 
mint az online vásárlás, lényeges, hogy a 
felhasználók minél gyorsabban kommuni- 
kálhassanak a webszerverekkel. Ha a szá- 
míitógép a saját telephelyen üzemel, a cég 
bérelt vonala jelenti az elérhető legna- 
gyobb sebességet, ezzel szemben a szer- 
verhostingnál a szolgáltató hazai és nem- 
zetközi sávszélessége a határ. A BIX (Buda- 
pest Internet Exchange) szolgáltatási pont- 
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A Dataplex kolokációs létesítményében 
akár 100 négyzetméteres különálló termet 
is bérelhetünk 


jához 1 Gbps sávszélességgel kapcsolódó, 
úgynevezett BIX szolgáltatókra jó példa a 
Novacom Kft., amely InternetNetWorks re- 
dundáns hálózatával kapcsolódik a nem- 
zetközi IP gerinchálózatokhoz, valamint a 
BIX-hez. Ez utóbbira a farmjukon lévő 
webszerverek egy közös FastEthernet kap- 
csolón keresztül 10/100 Mbps sávszéles- 
séggel csatlakozhatnak. 

Az olyan gigászok esetében, mint ami- 
lyen például a Dataplex, a rendelkezésre 
álló sávszélesség gyakorlatilag korlátlan. 

Éppen a nagysebességű adatkommuni- 
káció miatt a nagyobb szerverfarmokon a 
jelentősebb . telekommunikációs cégek 
közvetlen optikai kábeles csatlakozást 
használnak, így az egyes hálózatok akár 
közvetlenül is összekapcsolhatók. 


Intelligens épületek 


A Dataplex szerverfarmjának otthont adó 
épület jó példája a korszerű épületme- 
nedzsmentnek. Ez egy önállóan is működő- 
képes, úgynevezett intelligens létesítmény, 


amelyet kifejezetten az üzleti szempontból 
kritikus berendezések és alkalmazások el- 
helyezésére terveztek. A központ ,intelli- 

iájáról" — fejlett  épületgazdálkodási 
rendszer (Building Management System, 
BMS), üzemeltetést támogató rendszer 
(Operational Support System, OSS) és ká- 
belmenedzsment rendszer (Cable Manage- 
ment System, CMS) gondoskodik. 

A szerverfarmokat működtető cégek 
egyik érdekes szolgáltatása, hogy akár a 
szervereinkkel egy épületbe is költözhe- 
tünk, így gépeinket elérhető közelségben 
tudhatjuk. Ez a megoldás elsőként az 
Egyesült Államokban vált népszerűvé, hi- 
szen így a kezdő vállalkozások egy kézből 
kaphatnak meg minden szükséges szolgál- 
tatást anélkül, hogy különösebb beruhá- 
zásra kényszerülnének. 


Fő a biztonság 


Az első és legfontosabb szempont két- 
ségtelenül a biztonság. A co-location szol- 
gáltatók szervertermei zárt, őrszolgálattal 
védett, bekamerázott területek, ahová csak 
a szolgáltató szakemberei léphetnek be. 
Nem csak az illetéktelen behatolók, de az 
elektromos tüzek is veszélyt jelentenek, 
így a szervertermek mindegyikét a legkor- 
szerűbb füst- és tűzérzékelő rendszerek 
védik, az oltáshoz pedig az elektronikus 
eszközöket megóvó oltógázt használnak. 

Hiába azonban a szigorú őrizet, ha 
áramkimaradás miatt leállnak a rendsze- 
rek, így a szerverfarmok általában két, egy- 
mástól független elektromos hálózattal 
vannak kapcsolatban, a rövidebb kimara- 
dások, illetve feszültségingadozás ellen 
pedig szünetmentes tápegységeket állíta- 
nak hadrendbe. A nagyobb létesítmények 
a hosszabb kimaradásokra is felkészültek, 
így szükség esetén az alagsorban álló dízel 


Szervereinket zárt helyen is tárolhatjuk 
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3E zést 


Az Interware Data Centerének polcain több 
száz szerver számára van hely 


generátorral látják el árammal a szerver- 
farm gépeit. 

A 2001. szeptember 11-i New-York-i 
merényletek óta — amikor a World Trade 
Center ikertornyaiban számos bank, bró- 
ker- és informatikai cég szervere is odave- 
szett — a természeti csapások mellett a ter- 
rorista merényletekre is próbálnak felké- 
szülni. Az Infigate éppen ezért egy régi, 
egy méter vastag falú épület alagsorában 
és pincéjében rendezte be Telehoteljét, 
amely akár komolyabb földrengéseknek is 
képes ellenállni. 


Kicsiknek és nagyoknak 


A maga 8800 négyzetméteres nagyságá- 
val a Dataplex létesítménye igazi kolosz- 
szus, amely mellett az Infigate 1500 négy- 
zetméteres Telehotelje, az Interware 200 
négyzetméteres Data Centere, de főként a 
Telnet 50 négyzetméteres Webfarmja szin- 
te eltörpül. Az alapterületek közötti kü- 
lönbség azonban nem véletlen, ugyanis a 
cégek más-más célcsoportok számára kí- 
nálják szolgáltatásaikat. 

A Telnet, a Novacom és az Interware fő- 
ként a tartalomszolgáltatókat és a kisebb 
vállalkozásokat célozza meg, így nem 
meglepő, hogy például az Interware Data 
Centerének polcain több száz vállalkozás 
PC-alapú szerverei sorakoznak. Ám ha 
úgy kívánjuk, választhatjuk a rackes meg- 
oldást is, amikor szerverünk több más ma- 
sinával egy szekrényben  , duruzsol". 
Azoknak, akik a későbbiekben több rack- 
szekrényt vagy salgó-polcot kívánnak még 
elhelyezni, érdemes önálló területet kérni- 
ük. Az Interware-nél már 1,2 x 2,4 méteres 
helyet is bérelhetünk. 

Az Infigate és a Dataplex már nagyobb 
falatokra" pályázik, ügyfeleik között így 
távközlési cégeket, bankokat és tartalom- 
szolgáltatókat egyaránt találunk. Ezeknél a 
szolgáltatóknál rack-szekrénynél kisebb 
szerverrel ne is próbálkozzunk, hiszen 


fi 
[ 


Adatbiztonság 


szolgáltatásaikat kifejezetten nagyfogyasz- 
tóknak kínálják. Ha például nem kívánunk 
közösködni, a szervertermen belül zárt 
lakosztályokat" is bérelhetünk magunk- 
nak, ahová csak a mi szakembereink jut- 
hatnak be. A Dataplex épületében — akár 
100 négyzetméternél nagyobb — különter- 
met is bérelhetünk, amelynek alapszolgál- 
tatásait — a légkondicionálást, a be- és ki- 
léptetést, a felügyeletet — egyéni igényeink 
szerint alakítják ki. 


Elérhető szolgáltatások 


A kolokációs szolgáltatások fix havi díjá- 
ért szerverünket megfelelően tárolják, mű- 
ködését monitorozzák, illetve ha szükséges, 
kikapcsolják és újraindítják. Az Interware- 
nél az úgynevezett szolgáltatás monitoring 
is benne foglaltatik az árban, amikor az 
egyes szerveroldali szolgáltatásokat — http-t, 
mailt stb. — figyelik. Ami az energiaellátást 
illeti, a legtöbb helyen választhatunk, hogy 
az eszközök által fogyasztott áramért külön 
fizetnünk-e, vagy inkább az átalánydíjas 
megoldást választjuk, amely kiszámítható, 
fix havi díjat jelent. 


A folyamatos energiaellátásról szünetmen- 
tes tápegységek gondoskodnak 


Amennyiben híján vagyunk a szerver- 
karbantartásban jártas szakembereknek, 
vagy egyszerűen nem szeretnénk erre kü- 
lön erőforrásokat lekötni — természetesen 
felárért — akár teljes körű rendszeradmi- 
nisztrációt is kérhetünk. Ebben az esetben 
a szervermentések, a naplóállományok át- 
tekintése és elemzése, a szoftverfrissítések, 
a biztonsági beállítások, az új szolgáltatá- 
sok telepítése és konfigurálása, valamint a 
karbantartás a szolgáltató feladata, így mi 
a tevékenységi körünknek megfelelő fel- 
adatokra koncentrálhatunk. 


Árözön 


Az, hogy a szerverünket mennyiért szál- 
lásolják el, természetesen az igényelt szol- 


Szerverünket a helyszínen is javíthatjuk 


gáltatás függvénye. Amennyiben egyetlen 
PC-alapú szerverünket szeretnénk jó he- 
lyen tudni, és nem zavar minket, hogy a 
polcon többedmagával csücsül majd, ak- 
kor nettó 9 ezer forint körüli havi díjért 
már találhatunk megoldást. Amennyiben 
több gép számára szeretnénk polcot, az 
már drágább, hiszen például az Interware- 
nél egy 930 x 450 centiméteres hely — 
ahol négy gép fér el egymás mellett — nettó 
29 ezer forintot kóstál. Ha egy egész blok- 
kot bérlünk — a rajta lévő összes polccal 
egyetemben - akkor a havi 114 ezer forin- 
tos számlára készülhetünk. 

Az előbbi árak átalánydíjas áramellátás- 
nál érvényesek, ám a rackeknél áramellátás 
nélkül is kérhetjük a szolgáltatást. Meglévő 
rack-szekrényünk számára — átalánydíjas 
áramellátással — nettó 114 ezer forintért bé- 
relhetünk helyet, míg áramellátás nélkül 
ugyanez 89 ezer forintba kerül. Ha magát 
az 1/1-es zárható szekrényt is béreljük, ak- 
kor átalánydíjas áramellátással 129 ezer fo- 
rintot kell fizetnünk, míg áramellátás nélkül 
ugyanez 104 ezer forintot kóstál, Az 1/2-es 
szekrényért 68 ezer, az 1/4-es szekrényért 
pedig 37 ezer forintot számláz ki a szolgál- 
tató. Amennyiben átalánydíjas áramellátás 
nélkül kérjük a szolgáltatást, önálló mérő- 
órára is szükség van, amelynek egyszeri dí- 
ja — beszereléssel együtt — 120 ezer forint, 
számlánk pedig minden elfogyasztott kWh 
után 27,3 forinttal nő. 

Már említettük, hogy egyes szolgáltatók 
kifejezetten a nagyobb cégek — például táv- 
közlési és multinacionális vállalatok, ban- 
kok, biztosítók, áruházláncok — számára kí- 
nálják szolgáltatásaikat. Mivel ezek szerverei 
több tíz- vagy százmillió forintot is érhetnek, 
a hosting költségei is nagyobbak, ám ezért 
cserébe számos különleges szolgáltatást is 
kínálnak. A számítógépes rendszerek folya- 
matos működése sok cég számára létkérdés, 
hiszen képzeljük csak el, hogy például egy 
banknál milyen problémákat okozhat egy- 
egy kimaradás. Fülöp Norbert 


zünetmentes áramforrások 


A vírusok, hackerek és más 
internetes fenyegetések 
elleni védekezésben sokan 
hajlamosak megfeledkezni a 
sokkal hétköznapibb 
veszélyekről. Ilyen például az 
áramkimaradás, vagy - ami 
még rosszabb - a villámcsa- 
pás, amely a gép érzékeny 
részeit teheti tönkre. 

A tápellátásban bekövétkező 
zavarok ellen a szünetmen- 
tes energiaforrások jelentik 


a megoldást. 


Kettős konverziós Smart-UPS 


számítógépeinket működtető 
Asse áram ingadozásaival 

zemben ma már a védekezés 
több mint kötelező, jóllehet sokan gondol- 
ják úgy, hogy a mindennapi életünk részét 
képező elektromos hálózat önmagában 
véve ártalmatlan. Pedig elektromos háló- 
zati problémák gyakrabban érnek minket, 
mint ahogy azt gondolnánk. Minél na- 
gyobb egy hálózat, annál nagyobb az esé- 
lye a hálózat által generált feszültséginga- 
dozásnak is. Erre csak akkor döbbenünk 
rá, amikor — derült égből villámcsapásként 
- modemünk meghibásodik, vagy súlyo- 
sabb esetekben a PC-nk merevlemezén tá- 
rolt adatok használhatatlanná válnak, sok- 
szor felbecsülhetetlen károkat okozva a tu- 
lajdonosnak. Számítógépeink igen gyak- 
ran, akár naponta többször is sérülhetnek, 
kezdve a géplefagyásoktól a különböző hi- 
baüzenetek megjelenéséig vagy a számító- 
gép váratlan leállásáig. 

Hogy elejét vegyük a feszültségingado- 
zás miatt bekövetkező hardveres sérülé- 
seknek, és az ezekből következő adatvesz- 
tésnek, gyakorlatilag bármely számítás- 


Az American Power Conversion (APC) 
bejelentette rack-es és tornyos kivitelű, 
kettős konverziós online szünetmentes 
tápegységeinek új Smart-UPS AT család- 
ját. Az új termékek kiváló minőségű táp- 
ellátás-védelmet kínálnak, áthidalási idő 
nélkül, a létfontosságú vállalati szerve- 
rek és számítógép-hálózatok részére. 

Az 1000-10000 VA teljesítménytarto- 
mányt lefedő, nagy energiasűrűségű 
Smart-UPS RT tápegységek hosszabb 
akkumulátoros üzemidőt tesznek lehető- 
vé. A nagy energiasúrúséget mutatja, 
hogy egy 19 hüvelykes szekrényben az 
5000 VA-es tápegység mindössze 3U 
(1U — 1,75 hüvelyk — 44,45 mm) helyet, 
a 10000 VA-es egység pedig mindössze 
6U helyet igényel. 

Az új Smart-UPS RT főbb előnyei a kö- 
vetkezők: nagyobb rendelkezésre állás, 
nulla átkapcsolási idő akkumulátorról 
vagy akkumulátorra, automatikus és kézi 


puterpanorama.hu 


áthidalás, széles bemeneti feszültség- 
tartomány kezelése akkumulátor igény- 
bevétele nélkül (a bemeneti feszültség 
jellemző terhelések mellett 100-280 V 
lehet), szoros frekvencia- és feszültség- 
szabályozás, továbbá beépített vészki- 
kapcsoló. Minden egységben beépített 
akkumulátor van, amelyet a felhasználó 
üzem közben cserélhet. A Smart-UPS 
RT termékcsalád minden tagjához tet- 
szés szerinti számú külső - rack-be vagy 
toronyba szerelt — akkumulátorcsomag 
csatlakoztatható a kívánt áthidalási idő 
biztosítására. 

Az 1000-5000 VA közötti Smart-UPS 
RT egységek alaptartozéka a Power- 
Chute Business Edition szoftver, felügye- 
letüket pedig külön megrendelhető 
Smart-Slot kártyák teszik lehetővé. Az 
5000-10000 VA közötti Smart-UPS RT ter- 
mékeknek alaptartozéka még a beépített 
webes/SNIMP alapú felügyeleti kártya. 


Az MGE Pulsar termékcsalád megfelelő vé- 
delmet kínál a meglepetésszerű áraminga- 
dozásokkal szemben 


technikai eszköz használata esetén gon- 
doskodnunk kell a megfelelő védelemről, 
legyen szó otthoni PC-ről vagy kisebb-na- 
gyobb vállalati hálózatokról. 

A piacon nagy választékban találunk kü- 
lönféle . UPS  (Uninterruptable Power 
Supply) berendezéseket, azaz szünetmen- 
tes tápokat, amelyek mára első vonali vé- 
delmet nyújtanak az áramellátás problé- 
mái ellen. A mai szünetmentes tápoknak 
nem csak az áramellátás a feladatuk, de 
arról is gondoskodnak, hogy az áraminga- 
dozás kiküszöbölésével a megfelelő fe- 
szültség jusson el a számítógépünkbe. 

Természetesen ezek a berendezések 
sem ugyanarra a célra készültek. Más és 
más berendezés vásárlása javasolt az adott 
probléma vagy a fogyasztott áram mennyi- 
sége szerint. Általánosságban elmondható, 
hogy az egyedülálló PC-k kevés áramot fo- 
gyasztanak, ezért az erre a célra szánt szü- 
netmentes tápok úgynevezett off-line tech- 
nológiát igényelnek. Ez azt jelenti, hogy a 
készülék áramkimaradás esetén automati- 
kusan rákapcsol saját akkumulátorára, és 
biztosítja a PC folyamatos tápellátását az 
akkumulátor lemerüléséig. 

A következő szintet a hálózatra kapcsol- 
ható eszközök alkotják. Az off-line tech- 
nológiával ellentétben ez a készüléktípus 
már figyeli és beállításainak megfelelően 
automatikusan korrigálja a beérkező elekt- 
romos áram ingadozásait. Ha áramszünet 
következik be, a szünetmentes táp auto- 
matikusan átkapcsol az akkumulátorra, 
amelyet működés közben folyamatosan 
feltöltve tart. 

A védelem legmagasabb szintjét az úgy- 
nevezett online UPS technológia jelenti, 
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amely amellett, hogy gondoskodik a folya- 
matos áramellátásról, távolról is admi- 
nisztrálható. Ez azt jelenti, hogy a rend- 
szergazdák az interneten keresztül akár a 
város másik pontjáról is lekapcsolhatnak 
funkciókat, amelyek veszélyeztetik a háló- 
zat legfontosabb berendezéseinek a mű- 
ködését. Ezek a legújabb készülékek úgy is 
konfigurálhatók, hogy az adott probléma 
típusa szerint riasztják a rendszergazdát, 
aki még azelőtt elháríthatja a bajt, mielőtt 
az bekövetkezne. 

A számunkra megfelelő szünetmentes 
táp beüzemeléséhez feltétlenül javasolt 
tervben rögzíteni a feszültségingadozás 
vagy áramszünet esetén szükséges beállí- 
tásokat, már amennyiben több berendezés 
igényel védelmet. Először a szünetmentes 
táp méretét határozzuk meg; a méret itt a 
fogyasztott áram mennyiségének a függvé- 
nye. Aztán arról kell döntenünk, hogy me- 
lyik gyártó terméke biztosítja a legmegfele- 
lőbb védelmet számunkra. A beszerzés 
másik szempontját az egy területen adott, 
egy hálózatban használt berendezések 
száma határozza meg. A harmadik szem- 
pontot a használt elektromos berendezé- 
sek típusa határozza meg. 

Összefoglalva tehát a következő tervezési 
szempontokat kell figyelembe vennünk: 

e A számítógépes rendszer teljes áram- 
ellátásának átlátása 

e Az áramellátásban bekövetkező hibák 
ismerete és problémamentes kezelése 

e A szünetmentes tápok karbantartása és 
a lehetséges hibák felmérése 

e Egyes hálózati eszközök ki- vagy be- 
kapcsolhatósága 

e Kontrollált számítógép leállások 

Vásárláskor győződjünk meg arról, hogy 
új szünetmente$ tápunkban könnyű-e az 
akkumulátor cseréje. A megvásárolt beren- 
dezést mindenképpen a rendszergazda 
vagy hozzáértő személy konfigurálja. 
Amennyiben nagyobb hálózatról kell gon- 
doskodni, akár több szünetmentes táp be- 
szerzése is szükségessé válhat. A berende- 
zésekben lévő akkumulátort rendszeresen 
tesztelni kell, erre a célra a gyártók külön 
programokat is mellékelnek. Azért, mert 
beszereztünk egy szünetmentes tápot, ne 
feledkezzünk meg adataink rendszeres el- 
mentéséről. Bár ezek a berendezések haté- 
kony védelmet nyújtanak, 10090-os adat- 
védelem nincs! 


Forrás: www.liebert.com, www.mgeups. com. 
Kemény László 


Helyhiányos adatközpontok 


Hasonlóan az egyes számítógépek 
vagy vállalati hálózatok biztonsági igé- 
nyeihez, a nagyobb vállalatok, bankok, 
informatikai cégek adatközpontjai szá- 
mára is alapkövetelmény a megfelelő 
minőségű és zavartalan áramellátás. Bár 
a cégek rendszerint beszerzik az áramel- 
látásról és védelemről gondoskodó be- 
rendezéseket, gyakran a rendszeren be- 
lüli rendkívüli belső terhelés, illetve az 
emberi mulasztás is hibajelenségekhez 
vezethet. Az igazi problémát az UPS 
nagy helyigénye jelenti, mivel az elmúlt 
évek technológiai fejlődése ellenére 
sem csökkent ezeknek az eszközöknek 
a mérete. 

A hagyományos adatközpont áram el- 
leni védelmét úgy oldják meg, hogy 
vagy szekrényenként egy-egy szünet- 
mentes táp gondoskodik az azonos he- 
lyen tárolt berendezések védelméről 
(rack-es elhelyezés) vagy egy UPS gon- 
doskodik minderről (központi elhelye- 
zés), amely magában az adatcentrum- 
ban található, de legtöbbször valahol 
máshol az épületben kerül elhelyezésre. 


Nagy adatközpontokban a helyhiány 
okozza a legnagyobb problémát 


Az egyik vezető gyártó — nevezetesen 
az American Power Conversion (APC) — 
a két meglévő elhelyezési módon túl 
egy harmadik megoldást (úgynevezett 
sávos kiépítést) fejlesztett ki, illetve 
mindhárom elhelyezési módot egyszer- 
re alkalmazza. Az áramfelvétel alapján 
határozzák meg, hogy melyik módszer 


vagy módszerek együttes alkalmazásá- 
val kerüljön sor az új rendszer telepítésé- 
re. A megoldás a rugalmas elhelyezhe- 
tőségnek köszönhetően akár a rendelke- 
zésre álló hely 2096-át is felszabadíthat- 
ja, átadva a helyet az adatközpont műkö- 
dését hatékonyabbá tevő fontos egysé- 
geknek. 


A moduláris felépítés hatékonyabb mű- 
ködést tesz lehetővé 


Az InfraStruXure néven bejelentett ar- 
chitektúra egy vagy több UPS segítsé- 
gével oldható meg. Egy UPS esetén a 
bejövő áramra csatlakozó táp egy forrás- 
ból biztosítja a zavartalan áramellátást. A 
belső feszültség-ingadozások okozta hi- 
bák egy század százalék alatti előfordu- 
lási esélyét belső rendszere garantálja. 
A második módszer alkalmazásakor már 
két külön áramforrást kötnek egy UPS- 
re. Ebben az esetben már beépített kap- 
csolót helyeznek el, amely automatiku- 
san vált a két áramforrás között, amen- 
nyiben áramingadozás vagy a terhelés 
miatt szükségessé válik. Ez a felépítési 
mód egy ezrelék alatti hibalehetőséget 
okozhat. A harmadik esetben két áram- 
forrásra két külön UPS berendezést köt- 
nek, amellyel még jobban leszorítják a 
hiba lehetőségét, a gyártó itt már gya- 
korlatilag kizárja a hiba előfordulását 
(99.9999999). 

Az adatközpontok vásárlása előtt a 
szakemberek tervet készítenek, amely- 
ben meghatározzák az adatközpont be- 
rendezéseit, például áramfelvétel szerint 
(mondjuk 2304, 3 fázis), felállítják a rend- 
szer prioritásait: ha helyhiány van, melyik 
az az eszköz, amely feltétlenül védelmet 
kell kapjon, és melyek azok, amelyek ki- 
építése várhat. A védelem típusának a 
meghatározása után a gyártó szoftvere 
további segítséget nyújt a megfelelő be- 
rendezések kiválasztásában. 


Forrás: www.apc.com 


Ivános kulcsú titkosítás 


Trierben működő Institut für Tele- 
A: nemzetközi konferenciát ren- 
ezett a mobil kereskedelem (m- 
commerce) új fejlesztéseiről. A találkozó fő 
témája az volt, hogy mi módon lehetne 
gondoskodni a vezeték nélküli elektronikus 
üzleti forgalom biztonságosságáról. 

Az intézet szerint a mobil kereskedelem 
további fejlesztéseinek elfogadásához el- 
sősorban bizalomra és egységesítésre van 
szükség, ami egyben azt is jelentené, hogy 
jogi értelemben minden mobil-kereskedel- 
mi folyamat támadhatatlan lenne. Garan- 
tálni kellene ezen felül a vírus-támadások 
elleni védelmet is. A fórum lehetőséget 
adott arra, hogy a tudósok, a gazdaság és 
igazgatás jeles képviselői megismerked- 
hessenek az ezen a területen megjelenő új 
információs és kommunikációs technoló- 
giák adta lehetőségekkel, ezenkívül alkal- 
mat adott a gyakorlati tudás megvitatására 
és kicserélésére is. 


Fizetés telefonnal 


Az egyik fő témát a fizetési rendszerek 
és a belőlük fakadó lehetőségek képezték. 
A jövőben az internetet elérő mobiltermi- 
nálok olyan többletszolgáltatásokkal is bő- 
vülnek, mint például a bankautomata ke- 
resése mobiltelefonon keresztül, a mobil 
fizetési lehetőségek, valamint a mobil 


A biztonságos mobilhasználatra jó 
példa a Westel és az OTP Bank SMS 
alapú szolgáltatása. Az O7TPdirekt aktív 
SMS olyan korszerű megoldás, amely 
egy speciális SIM kártya segítségével 
gondoskodik arról, hogy a mobiltele- 
fonról közvetlenül, könnyen, gyorsan 
és biztonságosan lehessen pénzügyi 
tranzakciókat lebonyolítani. A számla- 
egyenleg és az árfolyamok lekérdezé- 
se mellett átutalásra, bankkártyához 
tartozó vásárlási-limit módosítására, 
betétlekötésre, számlaforgalom lekér- 
dezésére és OTP bankkártyával vég- 
zett tetszőleges Domino kártya egyen- 
leg feltöltésére van lehetőség. 

A szolgáltatáshoz speciális SIM kár- 
tya szükséges, amelyen olyan alkalma- 
zás található, amely könnyűvé, egysze- 
rűvé és biztonságossá teszi a banki 
műveleteket, sőt a SIM kártyán 5-5 kü- 
lönböző számla, bankkártya, célszámla 
és közlemény adatai is tárolhatók. 


Az ipar és a tudomány szakértői egy új 
biztonsági rendszert jelentettek be, amely 
a bevásárlásoknál és a banki műveletek- 
nél gondoskodhat majd az adatvéde- 
lemről. Az úgynevezett nyilvános 


kulcsú titkosítás új fejezetet nyit- 


hat a mobil kereskedelemben. 
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Megbízható 


mobilok 


tranzakciók. Ez bővítené a WAP (Wireless 
Application Protocol) alkalmazásokat, és a 
többletinformáció-szolgáltatáson felül le- 
hetővé tenné a tranzakciók biztonságos le- 
bonyolítását is. A felhasználó ezentúl bár- 
honnan és bármely időpontban kezdemé- 
nyezhet majd banki átutalásokat, akár mo- 
biltelefonon,  PDA-n (Personal Digital 
Assistent) vagy mobil PC-n keresztül. Ez 
azt jelenti, hogy lehetőség nyílik a bank- 
számla állásának lekérdezésére, annak 
megterhelésére, jóváírások kiválogatására, 
bankkártya-folyamatokat — ellenőrzésére, 
saját folyószámlák közötti pénzáramolta- 
tásra, illetve átutalás kezdeményezésére. A 
Paybox mobil fizetési rendszer alapjait 
szintén bemutatták az értekezleten. 


Segít a Location kereső 


Akinek készpénzre van szüksége, azt 
nem kaphatja meg a mobiltelefonjától. 
Ilyen jellegű kívánságok esetében is azon- 
ban nemsokára segítséget nyújtanak a mo- 
bil eszközök: a Location keresővel gyerek- 
játék lesz megtalálni a legközelebbi banki 
automatát vagy éjszakai trezort. A felhasz- 
náló a kijelzőn nemcsak a címet, hanem 
egy kis térképet is lát majd, amely egy ké- 
sőbbi fejlesztés eredményeként esetleg 
még a legrövidebb odavezető utat is képes 
lesz majd megmutatni. 


A mobil bank mellett az M-Brokerage is 
megváltoztathatja a bankok és a pénzügyi 
szolgáltatók világát. Az M-Brokerage egy 
új és hasznos WAP funkciót kínál a befek- 


tetők számára, amelynek segítségével 
helyhez kötöttség nélkül kereskedhetünk 
értékpapírokkal. Az egyes értékpapírokhoz 
nemcsak a vétel, illetve eladás parancsok 
rendelhetők hozzá, hanem az azok eladá- 
sáról, illetve vételéről szóló visszaigazolás 
is megtörténik. Mód nyílik tovább a tőzs- 
dei árfolyamok lekérdezésére, a piaci 
meghatározó jegyek figyelemmel kísérésé- 


Adatbiztonság 


re, vagy a teljes portfolió megtekintésére. 
A kínálat állandóan friss. A mobilkereske- 
delem előnyeit főként a folytonosan időhi- 
ánnyal küszködő brókerek fogják majd ér- 
tékelni. 


Titkos kapcsolatok 


A szimpózium elsősorban a biztonságot 
érintő témákkal foglalkozott. Szóba került 
a vállalatok összekapcsolódásának problé- 
mája is. Máris számos vállalat és hivatal 
élvezi a közös kapcsolat előnyeit, amellyel 
lehetővé vált a kódolt és az aláírással ellá- 
tott e-mailek belső elküldése, illetve foga- 
dása. Ezeket azonban szeretnék a külső 
kommunikációban is alkalmazni. 

A nyilvános kulcsú (Public Key 
Infrastructure, PKI) kapcsolatok feltétele, 
hogy a tanúsítványokat mindkét fél elis- 
merje. Azonban mind az infrastruktúrák 
gyártói, mind pedig azok értékesítői szá- 
mára felmerül a kérdés, hogy a különböző 
kulcsokat miként lehetne egymással össze- 
kapcsolni, hogy a felhasználók ne ütköz- 
zenek akadályokba. 

A Bridge CA (Certification Authority) 
megoldása lehetne ennek a problémának. 
Meglevő biztonsági struktúrákat köt össze 
egymással, így különböző szervezetek kö- 
zött is gondoskodik a biztonságos kommu- 
nikációról. Az egyes biztonsági struktúrá- 
kat összekötő hídként a Bridge CA ezek al- 
kalmazási területét bővíti. Nem lesz szük- 
ség a tanúsítványok kicserélésére, a már 
meglévő beruházások nem vesznek kárba, 
sőt egy újabb résztvevő csatlakozásakor a 
haszon arányosan megnő minden tag szá- 
mára. 

Egy semleges bizottság dönt egy megle- 
vő Public Key infrastruktúra Bridge CA-re 
történő  csatlakoztatásáról. Hardver és 


szoftver tanúsítványok is elfogadottak. Az 


GPRS — nagyobb veszély 


Míg a korábbi mobiltelefon-generáció- 
nál gyakorlatilag nem állt fenn vírusve- 
szély, addig a GPRS és az UMTS mobil 
szabványoknál egészen más a helyzet. 
Amilyen mértékben növekszik a mobil- 
telefonok tudása és processzorkapacitá- 
sa, úgy lesznek egyre inkább érzéke- 
nyek a készülékek a támadásokra is. Az 
új mobiltelefon-szabványok megnövelik 
a hacker-támadások lehetőségét. 

A GPRS mobiltelefonok legújabb ge- 
nerációja magával hozza a mobilvírusok 
első hullámát. Ennek oka, hogy a 
GPRS-nél használják először a WML 
(Wireless Markup Language) 1.2-es ver- 
zióját. Ezzel lehetővé válik, hogy számí- 
tógép programokat wapos mobiltelefo- 


ajánlások hosszú távon támogatják a 
chipkártyákra való átállást, hogy ezzel 
meg tudjanak felelni az aláírási törvény el- 
várásainak is. 


Vezeték nélküli koncepciók 


A Baltimore Technologies biztonsági 
szakcsoportjának fejlesztési témája a biz- 
tonságos kapcsolatok megoldásainak átvi- 
tele a vezeték nélküli világra. A meglevő 
internet szabványok és formátumok nem a 
legkedvezőbbek a mobil kommunikáció 
számára: a mobil kapcsolatban alkalma- 
zott sávszélesség túl alacsony, a végberen- 
dezések pedig csak kevés processzor- és 
memória-kapacitással rendelkeznek. Az 
újonnan definiált ,keskeny" titkosítási kul- 
csok inkompatibilisak a meglevőkkel, és 
ez ahhoz vezet, hogy a vezetékes és a mo- 
bil felhasználóknak különbözőek a kulcsa- 
ik. 

A fejlesztők ennek a nehézségnek az át- 
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TREND MICRO PC-cillin for Wireless 


Die zunehmende Beliebtheit der 
sogenannten PDAs brachte diese in die 
Schusslinie kreatíver Programmierer von 
Malware. Spátestens seit dem Auftreten 
des PALM LIBERTY. A kann eine 
Gefáhrdung auch dieser Systeme nicht 
mehr verleugnet werden. 


PC-cillin, 
roewireless 


FREE VIRUS PROTECTION 
FOR WIRELESS DEVICES 


nokba töltsünk. A programokkal változ- 
tatni lehet a telefonkönyvet: számokat 
törölni, megváltoztatni vagy beírni. A 
többi telefonfunkció manipulálása is le- 
hetséges lenne anélkül, hogy azt a tulaj- 
donos észrevenné. Az első vírustáma- 
dások még aránylag ártalmatlanok lesz- 
nek, mert a különböző WAP gateway- 
ek, szerverek, telefonkészülékek és 
WAP-böngészók még nagyon eltérnek 
egymástól, Ezért az első WAP-vírus ge- 
nerációnak nehéz lesz nagy területen el- 
terjednie. A növekvő szabványosodás- 
sal azonban javulni fognak a vírusok ter- 
jedési feltételei is. A WWML 2.0 közelgő 
bevezetése megnyitja a kapukat a digi- 
tális kártevők előtt. 


hidalására olyan azonosítók használatát 
javasolják, amelyek a tanúsítványokra hi- 
vatkoznak. A mobil területén belül nem a 
valódi tanúsítványt küldik el, hanem egy 
úgynevezett Certificate ID-t, mégpedig egy 
URL (Uniform Resource Locator) sztring 
formájában. Ennek az az előnye, hogy 
csak minimális sávszélességre és memó- 
riakapacitásra van szükség, az adatátvitel- 
nél nem adódhat probléma, és több 
Certificate ID tárolására is lehetőség nyílik. 

A vezeték nélküli és a vezetékes világ 
kulcsai közötti kapcsolatról egy PKI portál 
gondoskodik. A PKI portál a regisztrációs 
bejelentkezéseket egy szabványos PKI-nek 
továbbítja. A szoftverrel a mobil szolgálta- 
tásokkal foglalkozó vállalatok alacsony 
anyagi ráfordítással és rövid idő alatt képe- 
sek Public Key infrastruktúrájukat egy új 
vezeték nélküli készülékre kiterjeszteni. 

Ennek az elvnek az alapján a Baltimore 
már be is mutatott egy szoftveres megol- 
dást, amellyel digitális tanúsítványokat le- 
het szétküldeni, és a vezeték nélküli fel- 
használókat gyorsan és egyszerűen lehet 
azonosítani. A Telepathy regisztrációs 
rendszerrel tömegesen lehet tanúsítványo- 
kat kiállítani a mobil hálózaton keresztül. 
Ez különösen jelentős fejlemény a mobil 
kereskedelemben érdekelt szolgáltatók, 
nagyvállalatok, brókerek számára. 

Az új megoldás támogatja a fórumon 
megállapított legújabb vezeték nélküli biz- 
tonsági szabványokat: a Wireless PKI-t 
(WPKI), a Wireless Identity Modult (WIM) 
és a SignTextet (digitális aláírásokhoz 
használt WAP standard). 

Gyarmati László 


wuwu.computorpanorama na UT 


Nehogy 


A biztonságról más fogalmai 
vannak egy gázszolgáltató 
cégnek, mint egy informati- 
kai vállalatnak. És megint 
más szempontok merülnek 
fel, ha két ilyen cég találko- 
zik. Cikkünkben a Mol-Gáz 
gázszolgáltató óriáscég in- 
formatikai-távközlési hálóza- 
tát vesszük szemügyre - kü- 
lönös tekintettel az adatbiz- 


tonságra. 


Mol-Gáz Kereskedelmi Kft., mint 
Ass gázszolgáltató számára 

elengedhetetlenül fontos, hogy a 
rendszerében előforduló hibákról — ame- 
lyek akár tényleges veszélyt is jelenthet- 
nek a lakosságra nézve — haladéktalanul 
értesüljön. Sőt, a hibabejelentésnek akkor 
kell csak igazán a helyzet magaslatán len- 
nie, amikor bármilyen oknál fogva zavar 
támad a rendszerben. Az Euronet Rt. által 
megvalósított, szolnoki központú, tizen- 
két telephelyes integrált hang- és adatfor- 
galmi hálózat, valamint 


gáz legyen... 


Rendszerrajz 1. 
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Csökkenő 
költségek 


A rendszer megvalósításá- 
nak alapvető célja az volt, 
hogy a Mol-Gáz Kereske- 
delmi Kft. telefon- és adat- 
forgalmi költségei csök- 
kenjenek és kiszámítha- 
tóbbá váljanak, a vállalati 
struktúra lényegi átszerve- 
zése nélkül. Az új debre- 


ceni központot és a tizen- 


két telephelyet bérelt vo- 
nallal kötötték össze, és 


egy rendszerbe integrál- 
ták. Hét telephelyen az 
adatkommunikációt . biz- 
tosítja a rendszer, hatnál 
pedig a hang- és adatin- 
tegrációra, azaz a Voice 
over IP technológiára is 
megoldást kínál. 

Az alkalmazott technoló- 
gia alapja az úgynevezett 
frameflex —— béreltvonali 
összeköttetés, amelynek 
a lényege az, hogy a 


szolgáltatóval kötött meg- 


lem, átgondolt tervezés eredménye. A 
Mol-Gáznál a biztonság kulcsa a redun- 
dancia, illetve a menekülő utak" kiépítése, 
de kihasználtuk természetesen az alkalma- 
zott szoftvermegoldásokba beépített lehe- 
tőségeket is." 


az erre épülő ügyfélkap- 
csolati megoldás gondos 
tervezéssel és számos ké- 
zenfekvő —— megoldással 
gondoskodik arról, hogy 
ne — fordulhasson elő, 
hogy nem értesülnek idő- 
ben valamely problémá- 
ról. 

A biztonság  megte- 
remtése nem varázslat — 
mondja Járosi Miklós, az 
Euronet Rt. kereskedelmi 


Rendszerrajz 3. 


igazgatója — hanem figye- 


puterpanorama.hu 


állapodás alapján egy 
megadott garantált minimális és maximá- 
lis érték között mozoghat a sávszélesség. 
Így egy, két vagy akár több beszélgetés és 
ezzel párhuzamosan adatforgalom foly- 
hat. 

A hálózatra a Genesys kis- és középvál- 
lalatinak titulált, úgynevezett Express meg- 
oldása épül, amely az ügyfélszolgálati és 
hibabejelentő . munkát támogatja. A 
Genesys contact center fő feladata a tele- 
fonos ügyfél-kapcsolattartás segítése, de a 
tervek szerint a rendszer hamarosan a fa- 
xon és e-mailen érkező megkeresések 
megválaszolását is támogatni fogja. 

A Mol-Gáz kívánsága az volt, hogy az 
ügyfél minden esetben elérje a kezelőt, és 
bejelenthesse a problémáját. Ezért úgy 
tervezték meg a rendszert, hogy ha a kriti- 
kus elemei közül bármelyik meghibáso- 
dik, akkor azt haladéktalanul pótolni le- 
hessen. 


Rendszerelemek 


A rendszer kritikus elemei a telefonal- 
központ, az IVR megoldás és a Genesys 
ügyfélszolgálati rendszer, valamint a köz- 
ponti router. Emellett tartozik hozzá egy 
hangrögzítő rendszer is, amely a doku- 
mentálást végzi a későbbi ellenőrizhetőség 
érdekében, és természetesen ott vannak 
még a szolgáltató által biztosított — és azért 
az Euronet hatáskörén kívül eső — telefon- 
kapcsolatok is. 

A betelefonálás folyamatát tekintve az 
első feladat, hogy a hívó eljusson a céghez 
— azaz létrejöjjön a telefonos kapcsolat. A 
Mol-Gáznál több kerülőutat építettek ki, 
mindegyik telephely elérhető akkor is, ha 
a központ és a telephelyek közötti bérelt 
vonal megszakadna. A bérelt vonal meghi- 
básodása esetén automatikus riasztást küld 
a szolgáltató és a felhasználó felé, és a sze- 
repét a privát hálózaton belüli adat- és 
hangkommunikációra egy ISDN (back-up) 
vonal veszi át, de legtöbb helyen a koráb- 
bi analóg vonalak is megmaradtak, így 
ezek a telephelyek közvetlenül is elérhe- 
tők maradnak ebben az esetben az ügyfe- 
lek számára. 

Ha az ügyfél már eljutott a Mol-Gázhoz, 
akkor a következő feladat, hogy eljusson a 
kezelőig. A telefonalközpont hibája esetén 
- egy vészkapcsolási rendszerrel — előre 


CC Pulse: az egyik operátor aktuális állapo- 
ta 


Odathiztansán 


Interaction Routing Designer: integrált 
stratégia-menedzsment 


HÁTHETHTEN 


CME: a contact center centralizált kontroll- 
ja 

definiált menekülési útvonalra kerül a hí- 
vás, automatikusan egy olyan mellékre fut 
ki, ahol biztosan választ kap. Hasonlókép- 
pen az IVR-be és a Genesys ügyfélszolgá- 
lati rendszerbe is beállítottak meghibáso- 
dás esetén közvetlenül kapcsolt melléke- 
ket, a contact center szerver hibájától pe- 
dig a hardver megfelelő részeinek redun- 
danciája véd. 


Első az ügyfél 


A hardveres védelem mellett több szoft- 
veres megoldás segíti a zavartalan műkö- 
dést. Az integrált hálózatban például prio- 
ritás-beállítások gondoskodnak a forgalom 
zavartalanságáról. Első helyen az ügyfél- 
szolgálat IP mellékeinek hangforgalma áll, 
második a hozzájuk tartozó belső adatfor- 
galom, amely a belső rendszerek által 
használt információkat jelenti (például: 
több telephelyen működő, egymással 
kommunikáló pénzügyi vagy ügyfélszol- 
gálati megoldás), és csak a harmadik az 
internetes letöltéseké. A dinamikus sávszé- 
lesség kiosztás és vezérlés így gondosko- 
dik arról, hogy míg az ügyfél éppen az 
ügyintézővel beszél, ugyanazon a kapcso- 
laton egy nagy internetes letöltés vagy 
adatforgalom nehogy elnyomja a beszél- 
getést. 

A Genegsys ügyfélszolgálati megoldást a 


telephelyek feléről használják az operáto- 
rok — természetesen megfelelő jelszavas 
védelemmel és jogosultságkezeléssel. A 
rendszer a vállalat központi vevőadatbázi- 
sát használja. 

, Gyakran elmondjuk, hogy a biztonság 
kulcsa a folyamatos figyelem, karbantar- 
tás, ami nem az ügyfél lelkének "ápolgatá- 
sát" jelenti, hanem azt, hogy a munkatár- 
sunk időről időre ellenőrzi a rendszert, el- 
végzi a szükséges javításokat, frissítéseket, 
megnézi, hogy rendben vannak-e a beállí- 
tások — mondja Járosi Miklós. Tapasztala- 
tunk, hogy az ügyfél számára előnyösebb 
a karbantartási szerződés, bár ezt sajnos 
még nem mindenki érti meg. Persze nincs 
rendszer váratlan hiba nélkül. Meghibáso- 
dás esetén — a vállalt rendelkezésre állástól 
függően mielőbb megkezdjük a hiba elhá- 
rítását, a Mol-Gáz hálózat egyes elemeire 
például azt vállaljuk, hogy négy órán belül 
akár a helyszínen vagyunk - az országban 
bárhol — és 24 órán belül cserealkatrészt 
biztosítunk." 

(-) 
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WHI Innovatív vírusvédelem 


Stratégiai együttműködési 
megállapodást kötött a ZORP 
tűzfal-technológiát fejlesztő 
BalaBit és a vírusvédelmi rend- 
szereket fejlesztő VirusBuster. A 
két magyar tulajdonú cég meg- 
osztva nyerte el az ,év innova- 
tív megoldása" díjat a 2003. 
április 9-én és 10-én az MTA 
székházában megrendezett ,,In- 
formatika a  hatékonyságért" 
konferencián. A rendezvény fő- 
védnöke az Informatikai és Hír- 
közlési Minisztérium és a Veze- 
tő Informatikusok Szövetsége 
volt, kiemelt szakmai támoga- 
tója pedig az Informatikai Vál- 
lalkozások Szövetsége (IVSZ). 

A megállapodás értelmében 
a két hazai fejlesztőcég a jövő- 
ben felhasználja egymás tech- 
nológiáját kereskedelmi termé- 
keiben. 

A technológiai szövetséget a 


A ZORP professzionális szintű 
tűzfalvédelmet kínál a világhá- 
lózatra csatlakozó rendszerek 
számára 


piaci igény hívta életre, a fel- 
használók ugyanis előnyben 
részesítik a komplex biztonsági 
megoldásokat, a több forrásból 
származó védelmi rendszerek- 
kel szemben. A két magyar cég 
reményei szerint technológiáik 
kombinálásával olyan megol- 
dásokat tudnak kínálni, ame- 
lyek  világviszonylatban is 
egyedülállónak számítanak. 


WHI Deloitte á Touche a Dataplexnél 


A Deloitte g Touche Üzletvi- 
teli és Vezetési Tanácsadó Rt. a 
Dataplex budapesti nagybiz- 
tonságú adatközpontjában he- 
lyezte el 16 közép- és kelet-eu- 
rópai államban működő üzlet- 
kritikus informatikai és adatfor- 
galmi berendezéseit. A közvet- 
len és nagy sávszélességű ösz- 
szeköttetést Budapest és a régi- 
óban "működő Deloitte 8 
Touche irodák között az ATAT 
Global Network Services Hun- 
gary biztosítja a Dataplexnél el- 
helyezett POP-ja révén. A pia- 
cot meghatározó, Big Fournak 
is nevezett üzleti tanácsadó 
vállalatok közül Magyarorszá- 
gon jelenleg egyedül a Deloitte 
8. Touche rendelkezik az adat- 
forgalom extrém biztonságát 
nyújtó, rugalmas infokommuni- 
kációs infrastruktúrával. 

A Deloitte 8 Touche, az 
ATST és a Dataplex szakem- 
berei a berendezések áttelepí- 
tésénél Magyarországon ko- 
rábban még nem alkalmazott, 


megkülönböztetett IT biztonsá- 
gi megoldásokat alkalmaztak. 
A Deloitte 8- Touche berende- 
zéseit három, egymástól min- 
denben szeparált biztonsági 
térben helyezték el: külön re- 
dundáns tűzszakasz, redun- 
dáns klíma és redundáns áram- 
forrás gondoskodik a szerverki- 
szolgálás, a storage és a back- 
up működésének folyamatos- 
ságáról. A Deloitte az EMC 
terabájt . méretű — Symmetrix 
high-end storage rendszerét 
használja tárolásra. 

A Deloitte 8: Touche adatai- 
nak szupergyors továbbításáról 
az AT8T Global Network Ser- 
vices EVPN végpontja gondos- 
kodik, azaz a Deloitte nem fizet 
más szolgáltatónak összekap- 
csolási díjat, sem más adatfor- 
galmi költséget. Az AT8T az 
előző év végén helyezte el há- 
lózati adatkommunikációs esz- 
közeit a Dataplexnél, ügyfelei 
innen közvetlenül kapcsolód- 
nak a cég globális hálózatához. 


WI Biztonságos ujjlenyomat 


Adataink megvédésére ren- 
geteg jelszót, PIN kódot, belé- 
pési azonosítót használunk, de 
ma már léteznek sokkal biz- 
tonságosabb módszerek is, 
amelyek az emberi test termé- 
szetes jellemzőire épülnek. Az 
ujjlenyomat viszonylag régóta 
ismert — elsősorban a bűnüldö- 
zésben - de újabban egyre el- 
terjedtebb módszernek számít 
például az írisz-, a retina-, az 
arc-, a hang- vagy a kézírásfel- 
ismerés is. Ezeket a biológiai 
azonosítókat egyfelől nem tud- 
juk elfelejteni, másfelől sokkal 
nehezebb visszaélni velük. 
Három  személyazonosítással 
is foglalkozó informatikai, illet- 
ve biztonságtechnikai világcég 
- a Sun Microsystems, az AC 
Technology és a Cross Match 
Technologies — most a világon 
elsőként kínál olyan személy- 
azonosítási megoldást, amely a 
biometriai adatokat Smart Card 
(intelligens kártya) technológi- 
ával egyesíti. 

Az AC Technology BiObex 
nevű, biológiai azonosítási 
szoftveréből, a Cross Match 
Technologies Verifier E ujjle- 
nyomat-olvasójából és a Sun 
Microsystems úgynevezett vé- 
konykliens asztali munkaállo- 
másaiból álló rendszer az első 
olyan, törvényszéki előírások- 
nak is megfelelő, biometriai 
alapú hitelesítési megoldás, 
amely megfelel az FBI NIST 
(National. Institute of Stan- 
dards and Technology) előírá- 
sainak. 

A megoldás eredetileg a szö- 
vetségi kormány számára ké- 
szült, de igen jól használható 
olyan, nagy biztonságot igény- 
lő területeken is, például az 
egészségügyben vagy a bank- 
világban, ahol kulcsfontosságú 
a személyazonosság megálla- 
pítása, a különféle csalások és 
számítógépes  terrorcselekmé- 
nyek megakadályozása. 

Az új BiObex szoftver segít- 
ségével nemcsak az asztali 


Az új személyazonosítási meg- 
oldás lényegi eleme a Cross 
Match Technologies Verifier E 
ujjlenyomat-olvasója 


gépekhez, hanem bármely 
más fizikai vagy digitális por- 
tálhoz és más belső céges há- 
lózatokhoz vagy az internet- 
hez való hozzáférés is szabá- 
lyozható. 

Mivel helyileg nem tárolnak 
semmilyen bizalmas adatot, a 
Sun Microsystems Sun Ray kli- 
ensek biztonsági szempontból 
ideális megoldást jelentenek, 
és hatékonyan védenek az 
adatlopás ellen. A Sun Ray in- 
telligens kártyák használatával 
úgynevezett ,virtuális asztal" 
(hot desk) architektúrát valósít 
meg: a felhasználók a kártyá- 
jukkal . kezdeményezhetnek 
biztonságos kapcsolatot a há- 
lózat bármely helyéről. 

Tovább növeli a megoldás 
biztonságát a Cross Match 
Technologies Verifer E nevű 
terméke. Szemben a kismére- 
tű, olcsó, szilícium alapú ujjle- 
nyomat-olvasókkal, a Verifier E 
igen tartós, nagyméretű lapja 
nagy pontossággal képes leol- 
vasni az FBI előírásainak meg- 
felelő nyomatokat is. 


HI Damovo: NetScreen támogatóközpont 


A Damovo globális kommu- 
nikációs szolgáltató Európában 
az elsők között elnyerte a 
NetScreen Technologies enge- 
délyezett . támogatóközpontja 
(NetScreen Authorised Support 
Centre, NASC) minősítést. Az 
együttműködés keretében a 
Damovo új, a NetScreen be- 
rendezéseire épülő felügyelt 
biztonsági szolgáltatást vezet 
be ügyfelei számára. A 
NetScreen az integrált hálózati 
biztonsági megoldások vezető 
fejlesztője. A cég olyan kulcs- 
fontosságú technológiákat fej- 
leszt, mint a virtuális magánhá- 
lózatok (VPN), a szolgáltatás- 
védelem megtagadása, a tűzfa- 
lak és a behatolás elleni véde- 


lem, és mindezeket könnyen 
üzemeltethető " berendezések 
és rendszerek formájában teszi 
elérhetővé a felhasználók szá- 
mára. 

Az NASC minősítés meg- 
szerzését követően a Damovo 
szorosan — együttműködik a 
NetScreen regionális műszaki 
támogató központjával, ezáltal 
a végfelhasználók egyszerűen 
és rugalmas módon férhetnek 
hozzá a teljes körű terméktá- 
mogatási szolgáltatásokhoz az 
európai, közel-keleti és afrikai 
régió területén bárhol. A támo- 
gatás kiterjed a NetScreen inf- 
rastruktúra-támogató partnerei 
— az IBM és a UPS - szolgálta- 
tásaira is. 


Ki Microsoft: Védett Wi-Fi 


A Microsoft bejelentette, 
hogy ingyenesen letölthető a 
Microsoft Windows XP frissíté- 
se, amely Védett Wi-Fi hozzá- 
férést (Wi-Fi Protected Access, 
WPA) tesz lehetővé. Ez a Wi-Fi 
Alliance új, szabványos biz- 
tonsági megoldása a vezeték 
nélküli hálózatokhoz. Az új 
megoldás — a vezetékessel 
egyenértékű adatvédelmi 
(Wired  Eguivalent Privacy, 
WEP) szabványt váltja fel, s ro- 
busztusabb  adattitkosítási és 
hálózati hitelesítési módszere- 
ket biztosít annál. Ennek ered- 
ményeképpen a korábbinál 
magasabb szintű védettséget 
érhetnek el, akik a Windows 
XP vezeték nélküli szolgáltatá- 
sait használják. 

A Védett Wi-Fi hozzáférés két 
fronton veszi fel a küzdelmet a 
veszélyekkel: az adattitkosítás 
és a felhasználó-hitelesítés te- 
rén. A Védett Wi-Fi hozzáférés 
megoldást nyújt a vezetékes há- 
lózat korábbi kriptográfiai gyen- 
geségeire, és új metódussal, au- 
tomatikusan generálja és továb- 
bítja a titkosítási kulcsokat. 
Ezentúl az adatok a legutolsó 


OAdathiztangán 


bitig egyedi titkosítási kulccsal 
lesznek titkosítva, s ennek kö- 
szönhetően nagymértékben ja- 
vul a biztonság. A megoldás az 
adatok integritását is ellenőrzi, 
vagyis a támadók nem tudják 
módosítani a kommunikáció 
során továbbított adatcsomago- 
kat. A Védett Wi-Fi hozzáférés a 
vállalati szintű felhasználó-hite- 
lesítés terén is előrelépést ér el: 
a hálózat minden felhasználóját 
hitelesíti, de az idegen hálóza- 
tokról csatlakozókat távol tartja. 


I Biztosított 
biztosító 


Közel fél éves projekt kereté- 
ben, az ICON segítségével az 
Argosz Biztosító új kommuni- 
kációs és adatbiztonsági rend- 
szert alakított ki. A projekt so- 
rán olyan komplex feladatok 
együttes megoldására került 
sor, mint az átállás Microsoft 
Windows 2000 alapú rend- 
szerre, a Lotus alapú egységes 
munkakörnyezet kialakítása és 
a biztonságos internet kapcso- 
lat létesítése. 


HI Kormányzati biztonság a Microsofttól 


A nemzeti kormányok és 
főbb szervezeteik sokkal ko- 
molyabb biztonsági fenyegeté- 
sekkel néznek szembe, mint a 
technológia más felhasználói. 
Ezt felismerve a Microsoft 
nemrég bejelentette a Kor- 
mányzati Biztonsági Progra- 
mot (Government Security 
Program, GSP), azt a globális 
kezdeményezést, amely kont- 
rollált hozzáférést kínál a Mic- 
rosoft Windows forráskódhoz 
és egyéb műszaki információk- 
hoz. Oroszország és a NATO 
már aláírta a GSP megállapo- 
dást a Microsofttal, és a cég 
több mint 20 országgal tárgyal 
azok részvételi szándékáról. A 
GSP programban való részvé- 
tel felfedése mindegyik aláíró 
ország saját hatáskörébe tarto- 
zik, ám ahol szükséges, a Mic- 
rosoft biztosítja a titkosságot. 

A Kormányzati Biztonsági 
Programot a kormányok speci- 
ális biztonsági követelményei- 
re szabták. A GSP díjtalan kez- 
deményezés, amely képessé 
teszi a program résztvevőit ar- 
ra, hogy egy kódellenőrző esz- 
közzel ellenőrizzék a Win- 
dows forráskódot, és alávessék 
bizonyos engedélyezési korlá- 
tozásoknak. A forráselérésen 
túlmenően a GPS biztosítja a 
Windows platform műszaki in- 
formációinak felfedését is, ami 
segíti a kormányokat abban, 
hogy erős biztonsági technoló- 
giákkal ellátott számítástechni- 
kai infrastruktúrát építhessenek 
és telepíthessenek. A program 
a Microsoft biztonsági szakem- 


HI Új RSA partner 


Az e-biztonsággal foglalko- 
zó RSA Security a DNS Hungá- 
ria Kft.-t választotta első diszt- 
ribútorául Magyarországon. A 
DNS Hungária viszonteladói 
az RSA Security termékeit és 
szolgáltatásait a hálózatok ki- 
építésében használják majd. A 


berei és a program résztvevői 
közötti élénkebb kommuniká- 
ciót és együttműködést is elő- 
segíti, lehetőséget nyújtva a 
Microsoft redmondi fejlesztő 
létesítményeinek meglátogatá- 
sára és a Windows forráskód 
fejlesztési, tesztelési és telepí- 
tési folyamatok különböző as- 
pektusainak áttekintésére. 

A Microsoft 2001-ben indítot- 
ta el a Megosztott Forrás Kezde- 
ményezést . (Shared — Source 
lnitiative), abból a célból, hogy 
a Windows forráskódot átlátha- 
tóbbá tegye bizalmas partnerei 
és ügyfelei számára. A cég 
2002-ben jelentette be a Meg- 
bízható Számítástechnika 
(Trustworthy . Computing) kez- 
deményezését, a Windows fej- 
lesztési . munkájának  közép- 
pontjába állítva a biztonságot. 

A Kormányzati Biztonsági 
Program a Közös Kritériumok 
(Common Criteria, CC) tanúsít- 
ványra is támaszkodik. A Win- 
dows 2000 tavaly októberben 
megkapta a CC tanúsítványt — 
mely egy globálisan elfogadott, 
független szabvány az infor- 
máció-technológiai termékek 
biztonsági jellemzőinek és ké- 
pességeinek kiértékelésére —, 
arra való tekintettel, hogy az 
Információ-Technológiai . Biz- 
tonsági Kiértékelés Közös Kri- 
tériumai (Common Criteria for 
Information Technology 
Security Evaluation, CCITSE) 
definíciója szerint átfogóbb re- 
ális forgatókönyv készletet pro- 
dukált, mint bármelyik más 
operációs rendszer. 


DNS Hungária Kft. RSA termé- 
keket, professzionális szolgál- 
tatásokat értékesít és támoga- 
tást nyújt Magyarországon, va- 
lamint marketing és egyéb esz- 
közökkel is hozzájárul az RSA 
termékek és szolgáltatások ha- 
tékony terjesztéséhez. 


WHI SAP a belbiztonságért 


Az SAP újonnan bemutatott 
SAP Security Resource Ma- 
nagement átfogó biztonsági- 
erőforrás-kezelő megoldása a 
belbiztonság speciális folya- 
matait támogatja — a határőrség 
munkáját, a rendkívüli készült- 
ség megteremtését és a rendkí- 
vüli helyzetek kezelését, az el- 
lenintézkedések  foganatosítá- 
sát, az információelemzést és a 
külső koordinációt. Az SAP 
Security . Resource . Manage- 
ment révén a kormányhivata- 
lok olyan technológiai plat- 
formra tehetnek szert, amely 
javítja együttműködési készsé- 
güket és kritikus fontosságú fo- 
lyamataik kezelésének haté- 
konyságát. A belbiztonsági 
szervek emberi erőforrásait, fo- 
lyamatait és technológiáit biz- 
tonságosan integráló új megol- 
dás lehetővé teszi, hogy vala- 
mennyi érintett személy és 
szervezet közösen dolgozzon 
a biztonsági lépések lehető 
legeredményesebb végrehajtá- 
sán. 

Az SAP Security Resource 
Management az SAP e-govern- 
ment technológiájára épül. A 
kormányzati . szféra — vezető 
nemzetközi megoldásszállító- 
jaként ismert SAP az elmúlt 30 
évben az állami és magánszek- 
tor 18 800 szereplőjét segítette 
hozzá globális működése sike- 
res integrálásához. A vállalat 
új, nyílt platformú megoldása 
zökkenőmentes kommunikáci- 


ót biztosít a belbiztonság 
szempontjából fontos minisz- 
tériumok, kormányszervek és 
magáncégek között. 

Műszaki hátterét tekintve az 
SAP Security Resource Ma- 
nagement a heterogén infor- 
matikai környezetek együttmű- 
ködését támogató SAP 
NetWeaver integrációs és al- 
kalmazásplatformra épül. Az 
SAP NetWeaver egyben tech- 
nikai alapot biztosít az XML és 
webszolgáltatások — nyújtásá- 
hoz, valamint a strukturált, il- 
letve strukturálatlan adatok és 
a kategóriájukban páratlan üz- 
leti információs és tudásmene- 
dzselési képességek összekap- 
csolásához. Az SAP Security 
Resource Management testre 
szabott eszközeivel kiegészülő 
új technológia a vezeték nél- 
küli alkalmazások, a szimulá- 
ció és a kapacitásmodellezés 
támogatásával gondoskodik a 
különféle hivatalok és szerve- 
zetek kritikus folyamatainak 
tökéletes integrálásáról. A biz- 
tonságos környezet megterem- 
tése érdekében az SAP ágazat- 
vezető technológiája megbíz- 
ható hitelesítést, automatikus 
single sign-on" belépést, sze- 
repalapú  jogosultságszerzést, 
központi felhasználó-kezelést, 
titkosított . . információcserét, 
PKI-támogatást, valamint digi- 
tális aláírással és biometriai 
azonosítással védett dokumen- 
tum-továbbítást kínál. 


I Symantec szűrő Dominóra 


A Symantec bejelentette a 
Symantec — AntiVirus/Filtering 
for Dominót, amely vírusok el- 
leni védelmet, egyúttal szűrést 
is kínál a Lotus Notes/Domino 
adatbázisokon. 

A Symantec AntiVirus/Filte- 
ring for Domino a Solaris-on, 
AIX-en, iSeries-en, Linuxon és 
Windows . NT/2000-en futó 
Lotus/Domino . adatbázisokat 
védi a rosszindulatú tartalom- 
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tól és az ártalmas programok- 
tól. 

A termék már a Lotus 
Notes/Domino 6.0-t is támo- 
gatja, így a legírissebb Notes-ra 
áttérő cégek megbízható vé- 

" delméről is gondoskodik. To- 
vább javult a Symantec szaba- 
dalmaztatott Dynamic Docu- 
ment Review-ját használó, a 
nemkívánatos tartalmat szabá- 
lyok alapján szűrő képesség. 


WHI Symantec riasztórendszer 


A Symantec új riasztórend- 
szerrel rukkolt ki: a Symantec 
DeepSight Threat Management 
System 4.0 kellő időben ad át- 
fogó, ,madártávlati" áttekintést 
a cégeknek a világ internetes 
támadásairól. Gyors elemzései 
és ellenintézkedései védenek a 
rosszindulatú fenyegetések el- 
len. A termék a Symantec több 
mint 180 országban tevékeny- 
kedő 19 ezernél több partneré- 
nél található tűzfalakról és be- 
hatolás-érzékelő rendszerekről 
(IDS) származó adatok alapján 
megjelenésüktől fogva  nyo- 
mon követi a veszélyeket. 

A DeepSight Threat Manage- 
ment System már órákkal gyors 
elterjedése előtt felfedezte a 
Slammer férget. A Symantec 
DeepSight Threat Management 
System ezt követően időben ri- 
asztott ahhoz, hogy a rend- 
szergazdák az általa ajánlott 
eljárásokkal még azelőtt véde- 
kezhessenek, mielőtt a számí- 
tástechnikai környezetük ve- 
szélybe került volna. 

A tűzfalak szolgáltatta ada- 
toknak a 4.0 változatban meg- 
valósított integrációja révén a 
Symantec  DeepSight  Threat 
Management System most már 
a korábban nem észlelt, széles 


A DeepSight Threat Manage- 
ment System rendszerarchitek- 
túrája 


körben elterjedt támadásokat is 
érzékeli. Ezzel a fenyegető ve- 
szélyekről szóló korai riasztás a 
világon bárhol található jófor- 
mán valamennyi technikai plat- 
formon azokra a gyanús, azo- 
nosítatlan tevékenységekre is ki- 
terjed, amelyek bizonyos porto- 
kat és eszközöket érintenek. 

A Symantec elemzői a be- 
gyűjtött adatokból bonyolult 
eljárásokkal és adatbányászat- 
tal határozzák meg a támadást 
jellemző mintázatot. A sebez- 
hető pontok és a támadások te- 
rén rendelkezésükre álló ada- 
tok elemzésével idejében tud- 
nak széles körű riasztást külde- 
ni az ügyfeleknek, hogy azok a 
támadás megelőzésére össz- 
pontosíthassanak. 


II Sikeres évet zárt a Noreg 


Eredményes évet zárt a ma- 
gyarországi információvédelmi 
piacon immár négy éve meg- 
határozó — szerepet betöltő 
Noreg Információvédelmi Kft. 
A Montana Rt. leányvállalata a 
2002-es évet 370 millió forint 
árbevétellel zárta, ami az elő- 
ző évhez képes 1590-os növe- 
kedést jelent. Míg 2001-ben a 
Noreg adózás előtti eredmé- 
nye 12 millió forint volt, 2002- 
ben ez az összeg elérte a 35 
millió forintot. A bevétel több 
mint 5090-a szolgáltatásból 
származó tevékenységekből 
tevődött össze. 

A gazdasági, pénzügyi ered- 


ményeken kívül említésre mél- 
tó még, hogy a tavalyi év során 
a Noreg megszerezte az ISO 
9001/2000 minősítést, sikere- 
sek a Noreg ATC tanfolyamok 
(ISS Authorized Training Cen- 
ter), ezenkívül Adatbiztonság 
Technológia és Jog címmel ren- 
dezvénysorozatot indítottak. Az 
év során sikeresen zárult a 
Noreg több nagy projektje 
(Giro Rt. — PKI projekt, ország- 
gyűlési, valamint önkormány- 
zati választások informatikai 
védelme,  információvédelmi 
rendszerek kiépítése további 
hazai nagybankokban, vezető 
ipari vállalatoknál). 


Adatbiztonság 


mm. 


z -zEgyik új isvállálkozádhak sem nagy v vállalközás: m- TF 


szöke a Leves vírüsvédelem megoldása. : szg 


"jö h, "azáz mm m—- Közél vállalat nagy fejlesztések; : meröszgétökz h 


Hé e át one és ks ES a SZAMÍtógóPES vírusvédelentté "gondooítánár? 


MA ői ; Vezséns Ta Vé tg fs EZI 2 6 ks e, ÉS lan m 6. 
NR —- ENE S E stáeké a elet rt EZ éez ete min 
. fékz T 5 sz-Egynac vállalat: riemeelégedhetmeg" Szája zt 
Fésüs — e T- 7-7 —-7 - félmegoldásokkal.-Komplex számítógépeés- 
S Az ; Sze nksá SÉSLZ ZSZ tazába eszelte 
Bengt esta ezé vírusvédelmi megoldások-egy-kézből. 
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sag 
Nagyobb projektek, 
magasabb célok, 
nagyobb felelősség. 
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Azt kérik Öntől, hogy többet teljesítsen. Rövidebb idő alatt "ss 
A Microsoft? Windows? Server 2003 segítségével Ön ezeknek 

az egymással ellentmondó igényeknek is meg tud felelni. 

Hiszen kevesebb idő és pénz ráfordításával, zökkenői - 
tesebben használhat és készíthet hatékony informatikai 
megoldásokat. 

További információk a www.microsoft.com/hun oldalon. 


TES 
Aa" Windows Server 2003 


Kevesebb erőforrás, 
szorosabb határidők, 
csökkenő költségvetés. 


Microsoft 


